資安管理組織項目

在Verinice中以組織/範圍(Organization/Scope)為單位，進行資訊安全管理，在一個組織範圍內，能設定的項目很多，詳細畫面如下圖：

分別是資產(Assets)、稽核(Audits)、控制措施(Controls)、文件(Documents)、例外(Exceptions)、事件(Incidents)、人員(Persons)、程序(Processes)、記錄(Records)、要求(Requirements)、回應(Responses)、情境(Scenarios)、威脅(Threats)、弱點(Vulnerabilities)，接著分別說明各項目配置的內容。

資產(Assets)

資產的可設定屬性有：

• 名稱(Title) - 資產的名稱
• 縮寫(Abbreviation) - 資產的簡寫
• 標籤(Tags) - 資產歸類標籤
• 描述(Description) - 資產的描述
• 資產類型(Type of Asset) - 設定資產的類型，可以設定的項目有Information、Software、Physical、Service、People、Intangible
• 文件(Document) - 建立與本資產相關文件的連結

營運持續(Business Continuity)

設定本資產在營運持續的參數，包含：

• MTPD (h) - 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD)關鍵業務發生中斷後，恢復至最低運作水準，所能容許的中斷時間。
• RPO (h) - 資料回復點目標 (Recovery Point Objectives, RPO) 事故發生後，關鍵業務資料可被回復的最近時間點 (依照備份、頻率及時間訂定)。
• RTO (h) - 目標回復時間 (Recovery Time Objective, RTO)，關鍵業務從事故發生到完成回復最低運作水準之可接受時間。
• 中斷X時後的衝擊(Impact after xh) - 分別設定業務中斷時，對於營運持續衝擊程度的高低，能設定的程度有：低(Low)、中(Medium)、高(High)、非常高(Very High)，在本管理工具分別針對中斷8小時、24小時、48小時、96小時、168小時、720小時、大於720小時以上的營運衝擊。

業務衝擊(Business Impact)

設定本資產發生問題時，對於業務營運的衝擊性，分別設定

• 推論機密性(Deduce Confidentiality) - 是否會受到情境中的威脅、弱點、控制措施而影響機密性
• 推論完整性(Deduce Integrity) - 是否會受到情境中的威脅、弱點、控制措施而影響完整性
• 推論可用性(Deduce Availability) - 是否會受到情境中的威脅、弱點、控制措施而影響可用性
• 機密性 - 經過風險分析估計出的機密性
• 完整性 - 經過風險分析估計出的完整性
• 可用性 - 經過風險分析估計出的可用性
• 取代成本(Replacement Costs) - 如要取代資產要付出多少成本
• 貨幣(Currency) - 取代成本的幣值，可設定歐元、美金、英鎊、日元
• 解釋(Explanation) - 關於本資產業務衝擊的詳細說明

Greenbone GSM

(屬性不能設定, 功能待確認)

• GSM Tag
• Description
• Hostname
• Installed Software
• Traceroute
• Memory
• OS
• CPE
• IP Address
• MAC Address
• Open Ports
• Scan start
• Scan end

風險管理(Risk Management)

透過本ISM管理後，評估出本資產風險值的結果。

• 機密性風險值(Confidentiality risk value)
• 施作控制項目後的機密性風險值Confidentiality risk value with implemented controls
• 計畫控制項目後的機密性風險值Confidentiality risk value with planned controls
• 完整性風險值(Integrity risk value)
• 施作控制項目後的完整性風險值Integrity risk value with implemented controls
• 計畫控制項目後的完整性風險值Integrity risk value with planned controls
• 可用性風險值(Availability risk value)
• 施作控制項目後的可用性風險值Availability risk value with implemented controls
• 計畫控制項目後的可用性風險值Availability risk value with planned controls

風險處理(Risk Treatment)

設定本資產的風險如何處理

• 風險處理(Risk Treatment) - 可以設定的風險處理方式有：修改(Modification)、保留(Retention)、避免(Avoidance)、轉移(Transfer)
• 說明(Explanation) - 說明如何處理本資產的風險

關聯

在此設定本資產與其他項目關聯性，例如跟哪些流程相關、什麼威脅弱點會影響本資產、本資產套用哪些控制措施等。 　

稽核(Audits)

• 標題(Title)
• 縮寫(Abberviation)
• 標籤(Tags)
• 類型(Type) - 可以設定本稽核的屬於哪一種類型，總共有第一方稽核(1st party)、第二方稽核(2nd party)、第三方稽核(3rd party)、驗證(Certification)、追查稽核(Surveillance)、重驗證(Re-Certification)可以選擇，依照實際的稽核作業選擇即可
• 稽核啟始日(From) - 設定稽核作業是哪一天開始
• 稽核結束日(Until) - 設定稽核作業結束的日期
• 範圍總結(Scope Summary) - 說明本次稽核作業包含的範圍
• 建立者(Creator)
• 建立者電話(Creator Phone)
• 建立者信箱(Creator Email)
• 釋出日期(Release Date)
• 核准人(Approved By)
• 執行者(Performed By)
• 包含主題(Included Topics)
• 排除主題(Excluded Topics)

文件資料(Document Data)

• 責任範圍(Responseible scope)
• 文件基礎(Document based on)
• 初版報告建立者(Report done by)
• 初版報告完成日(Report done by)

Subject Areas

• 優良結果(Good Results)
• 改進空間(Room for Improvement)

• 目標對象(Target Audience)

控制措施(Controls)

• 標題(Title)
• 縮寫(Abberviation)
• 標籤(Tags)
• 文件(Document)

施行形況(Implementation)

描述本控制措施時作情況，包含下列項目：

• 實作狀態(Implemented) - 選擇本控制措施的施行狀態
• 解釋(Explanation) - 施行內容的說明
• 動機(Objective) - 施行本控制措施的動機
• 施行日期(Implementation date) - 施行日期

Statement of Acclicability

• SoA: Control selected
• SoA: Reason for slelection

Greenbone GSM

(功能不確定, 尚需測試確認)

• 描述(Description)
• GSM Tag
• GSM CPE

控制強度(Control Strength)

設定採用本控制項目針對不同的資訊安全控制程度，包含機密性、完整性與可用性等，並且可以設定在不同的情境(Scenario)發生的機率。

• 機密性衝擊(Impact on Confidentiality)選項有不影響(No effect)、修正1-2級(Modifies 1-2 level)、完全修正(Modifies completely)
• 完整性衝擊(Impact on Ingegrity)選項有不影響(No effect)、修正1級(Modifies 1 level)、完全修正(Modifies completely)
• 可用性衝擊(Impact on Availability) - 選項有不影響(No effect)、修正1-3級(Modifies 1-3 level)、完全修正(Modifies completely)
• 情境發生率(Probability of scenario)-設定發生在情境的機率，選項有不影響(No effect)、修正1-7級(Modifies 1-7 level)、完全修正(Modifies completely)
• 說明(Explanation)-註記本控制項目設定內容

成熟度階層(Maturity Level)

設定本控制項的成熟度階層，項目有：

• 成熟度(Maturity) - 可以設定的成熟度有0-9
• 建議權重(Suggested weight) - 自動估算建議的權重值
• 使用權重(Used weight) - 實際設定的控制項權重值，可以看是否依照建議的權重配置，或者依照實際需求自行調整。
• 門檻1(Threshold 1) - 自動估算門檻，無法手動設定
• 門檻2(Threshold 2) - 自動估算門檻，無法手動設定
• 註記(Remarks) - 關於本控制項成熟度設定的註寄語說明，備忘用。
• 配置期限(Realized until) - 設定本成熟度的有效期限。

修定(Revision)

說明本控制項目修定的日期與註記

• 上次更版(Last revision)
• 註記(Notes)
• 下次更版(Next revision)

成本花費(Cost)

• 貨幣(Currency) - 選擇採用本控制項的成本貨幣
• 勞動力固定成本(Labor costs EUR fixed)
• 勞動力變動成本(Labor costs running fixed)
• 時間週期(Time period)
• 材料固定成本(Material costs EUR fixed)
• 材料變動成本(Material costs running fixed)
• 時間週期(Time period)

VDA資訊安全評鑑稽核(VDA ISA Audit)

• 查檢發現(Findings)
• 成熟度(Maturity)
• 外部意見(External Comment)
• 內部意見(Internal Comment)
• 風險評鑑(Risk Assessment)
• (Deviation)
• 完成日期(Complete until)
• 筆記(Notes)

回饋(Feedback)

• 回饋(Feedback)
• 回饋日期(Feedback date)

文件(Documents)

設定本範圍用到的文件，併填入相關資訊，可以透過聯結方式設定外部文件，以利快速使用，可以設定的欄位有：

• 標題(Title)
• 簡寫(Abberviation)
• Tags
• Ext Link
• Document Type
• Classification

例外(Exceptions)

• 標題(Title) - 例外的主要標題
• 縮寫(Abberviation) - 簡寫
• 標籤(Tags) - 標籤
• 文件(Document) - 跟外部文件的連結
• 原因(Reason) - 說明本例外的原因
• 核准(Approved) - 核准狀態，可以選擇的有是(Yes)和否(No)
• 解釋(Explanation) - 詳細解釋本例外
• 條件(Conditions) - 說明本例外的條件
• 核准日期(Approved on) - 註記例外核准日期
• 有效期限(Vaild until) - 註記例外的有效期限

事件(Incidents)

• 標題(Title) - 事件的主要標題
• 縮寫(Abberviation) - 簡寫
• 標籤(Tags) - 標籤
• 事件(Events) - 事件描述
• 日期(Date) - 事件發生日期
• 文件(Document) - 跟外部文件的連結

原則指南(Directory of Principles)

• 事件類型(Eventtype) - 可以設定的項目很多，均為各式不同的資訊安全事件，詳細如下圖：

• 外部攻擊(External Attack) - 如果為外部攻擊，可以點選旁邊的[change]按鈕，會跳出外部攻擊類型的小視窗供選擇。

• 資料遺失(Loss of Data) - 如有資料遺失或外洩，可以選擇外洩或遺失的狀況。

• IT-Security Vulnerability - 確選確認是否為資訊安全弱點
• Error on SW- / HW-Components

• Severe Cancellation of Resources
• Severe Error in Function
• Severe Overloadsituation

• Policy violation - 是否違反政策
• Internal Reasons - 是否為內部原因
• External Influences

• Particular Findings - 是否有特別調查結果
• Purpose Information

• 環境(Circustances) - 描述本事件環境
• 進一步改善措施(Proposals for further approach) - 描述本事件改善措施
• 雜項(Miscellaneous) - 其它事項記載

人員(Persons)

維持ISMS運作會有許多人員組成，每個人員都有不同的角色，在verinice中也可以把人員角色設定進來，並且設定不同的關聯性，人員設定主表格如下：

詳細欄位為：

• 簡寫(Abbervaiation) - 輸入人員名稱的縮寫
• 標籤(Tags) - 如果有分類標籤，可以簡單註記於此
• 抬頭(Salutation) - 輸入人員抬頭，有Mr.或Mrs.
• 姓氏(Surname) - 輸入人員姓氏
• 名字(Name) - 輸入人員名字
• 電話(Phone) - 輸入人員電話
• 電子郵件(Email) - 輸入人員電子郵件
• 組織單位(Org-Unit) - 人員的組織單位，依照習慣輸入即可
• 解釋(Explanation) - 是否有細節事項
• 文件(Document) - 與人員相關的文件，可於此作連結
• 角色(Roles) - 勾選此人員在ISMS或者IT環境中的角色(可複選)，詳細列表有：

程序(Processes)

建構程序，描述營運持續(Business Continuity)和業務衝擊(Business Impact)影響程度，之後有許多德文描述的選項，暫不在本討論範圍之內。

• 標題(Title) - 程序的主要標題
• 描述(Description) - 輸入流程描述
• 縮寫(Abberviation) - 輸入流程簡寫
• 標籤(Tags) - 輸入流程標籤
• 文件(Document) - 跟外部文件的連結

接著是本流程有關營運持續和業務衝擊的選項，如下：

營運持續(Business Continuity)

• MTPD (h) - 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD)關鍵業務發生中斷後，恢復至最低運作水準，所能容許的中斷時間。
• RPO (h) - 資料回復點目標 (Recovery Point Objectives, RPO) 事故發生後，關鍵業務資料可被回復的最近時間點 (依照備份、頻率及時間訂定)。
• RTO (h) - 目標回復時間 (Recovery Time Objective, RTO)，關鍵業務從事故發生到完成回復最低運作水準之可接受時間。
• 中斷X時後的衝擊(Impact after xh) - 分別設定業務中斷時，對於營運持續衝擊程度的高低，能設定的程度有：低(Low)、中(Medium)、高(High)、非常高(Very High)，在本管理工具分別針對中斷8小時、24小時、48小時、96小時、168小時、720小時、大於720小時以上的營運衝擊。

業務衝擊(Business Impact)

• 推論機密性(Deduce Confidentiality) - 是否會受到情境中的威脅、弱點、控制措施而影響機密性
• 推論完整性(Deduce Integrity) - 是否會受到情境中的威脅、弱點、控制措施而影響完整性
• 推論可用性(Deduce Availability) - 是否會受到情境中的威脅、弱點、控制措施而影響可用性
• 機密性 - 經過風險分析估計出的機密性
• 完整性 - 經過風險分析估計出的完整性
• 可用性 - 經過風險分析估計出的可用性
• 解釋(Explanation) - 關於本資產業務衝擊的詳細說明

記錄(Records)

在ISMS管理中，所有記錄是非常重要的，透過記錄我們可以管理追蹤各種ISMS程序落實的狀況，以達到說寫作一致，在verinice中也提工記錄連結功能，如下：

• 標題(Title) - 輸入記錄的標題或抬頭
• 縮寫(Abbreviation) - 記錄的縮寫
• 標籤(Tags) - 輸入記錄相關標籤
• 文件(Document) - 直接跟記錄文件建立連結，以便快速調閱

要求(Requirements)

ISMS環境的控制項施作，會有一些要求，例如：檔案加密、落實桌面淨空政策等，可以把施作環境裡的要求項目，建立在Verinice的要求之中，再建立關聯性，就可以知道什麼要求需要被套用在什麼資產之上，以下是要求的範例：

• 標題(Title) - 輸入要求的標題或抬頭
• 縮寫(Abbreviation) - 要求的縮寫
• 標籤(Tags) - 輸入要求相關標籤
• 描述(Description) - 描述本要求詳細內容
• 文件(Document) - 直接跟要求文件建立連結，以便快速調閱

• 類型(Type) - 選擇本要求屬於哪一種類型，可選項目有法律要求(Legal)、合約要求(Contractual)、監督管理(Regulatory)、營運目標(Business Objective)、資訊安全目的(IS Objective)

要求可以跟其它項目建立關聯，以便知道什麼要求要套用在特定資產或者滿足特定的控制措施。

回應(Responses)

當事件發生時，權責單位與負責人可能需要針對事件發表回應，或者記錄事件的回應狀況，Verinice也提供此一功能，讓ISMS維護者能針對回應狀況進行記錄，接著進行事件的矯正預防，詳細畫面如下：

• 標題(Title) - 輸入回應的標題或抬頭
• 縮寫(Abbreviation) - 回應的縮寫
• 標籤(Tags) - 輸入回應相關標籤
• 矯正行動(Corrective Action) - 描述本回應詳細內容
• 文件(Document) - 直接跟回應文件建立連結，以便快速調閱

情境(Scenarios)

在風險評鑑中，可以建立多個不同的情境，用來分析不同的威脅弱點對資訊安全造成的影響。透過情境的建置，配置會影響的範圍、對特定資訊安全項目造成的衝擊（機密性、完整性、可用性），並配置發生的機率，例如：情境發生時造成影響的機率、有計畫控制措施時發生的機率和有實作控制措施時發生的機率等。

• 標題(Title) - 輸入情境的標題或抬頭
• 縮寫(Abbreviation) - 情境的縮寫
• 標籤(Tags) - 輸入情境相關標籤
• 解釋(Explanation) - 輸入情境的解釋與說明
• 文件(Document) - 直接跟情境文件建立連結，以便快速調閱
• 影響機密性(Affects Confidentiality) - 勾選讓此情境會影響機密性
• 影響完整性(Affects Integrity) - 勾選讓此情境會影響完整性
• 影響機密性(Affects Availability) - 勾選讓此情境會影響可用性

機率(Probability)

設定本情境的發生機率，選項有：

• 由威脅弱點繼承參數(Deduce from threat anv vuln.)
• 威脅頻率率(Threat Likelihood)
• 弱點等及(Vulnerability Level)
• 情境發生機率(Probability of scenario occuring)
• 有實作控制措施時發生的機率(Probability with implemented controls)
• 有計畫控制措施時發生的機率(Probability with planned controls)

Greenbone GSM

本選項不確定內容，待研究

情境關聯項目(Relations to:)

設定本情境影響的資產、設定關聯的弱點、威脅以及會被哪個控制措施影響頻率等，進行一綜合的評斷，以便評鑑在情境的風險數值。

威脅(Threats)

威脅在資訊安全的風險評鑑非常重要，透過威脅跟弱點能對資產的風險進行評鑑，本項目主要設定威脅的發生頻率，設定項目有：

• 標題(Title) - 輸入威脅的標題或抬頭
• 描述(Description) - 輸入威脅的解釋與說明
• 縮寫(Abbreviation) - 威脅的縮寫
• 標籤(Tags) - 輸入相關標籤
• 文件(Document) - 直接跟威脅文件建立連結，以便快速調閱

• 頻率(Likelihood) - 設定威脅發生的頻率，可設定的範圍在偶而發生(Seldom)、一年(Annually)、每月(Monthly)、每周(Weekly)、每天(Daily)、每小時(Hourly)

設定本威脅會在哪個情境(scenario)出現

弱點(Vulnerabilities)

弱點就是資產可能在威脅出現時，會受到影響或者造成資安事件的發生點，在本處可以設定弱點層級，詳細畫面如下：

• 標題(Title) - 輸入弱點的標題或抬頭
• 描述(Description) - 輸入弱點的解釋與說明
• 縮寫(Abbreviation) - 弱點的縮寫
• 標籤(Tags) - 輸入相關標籤
• 文件(Document) - 直接跟弱點文件建立連結，以便快速調閱

設定本弱點會在哪個情境(scenario)出現