3-1 資料的重要性評估與分級
- 2025年7月14日
- 讀畢需時 2 分鐘
已更新:2025年11月9日
瞭解資料的重要性,有助於我們針對不同的資料採取適當的保護措施,比如重要的印鑑由秘書室專人保管,需要提出申請才可以使用;服務個案的資料統一存放檔案室,需要有門禁卡才可以進出。
1. 準備工作
列出資產清單:將所有需評估的資產(如捐款人資料庫、志工管理系統、活動紀錄文檔)逐項列出,確保全面性。
定義評估指標:
機密性:資料若被未授權存取或洩露,會對組織造成多大影響?
完整性:資料被修改或損壞時,會對業務運作造成多大影響?
可用性:資產無法使用時,對組織業務的影響程度如何?
2. 評估步驟
逐項評估:根據資產對機密性、完整性及可用性的需求進行評分(1~3) 1(低需求):影響有限,風險可接受(如公共宣傳素材)。
2(中需求):部分影響,需要注意(如一般業務資料)。
3(高需求):重大影響,需重點保護(如捐款資料庫、志工系統)。
計算總分:將每項資產在三個指標中的分數加總,得到總風險分數(3~9)
分級結果:根據總分將資產分級
8-9 分(極高優先級):需採取最嚴格的安全措施。
6-7 分(高優先級):需強化保護措施。
4-5 分(中優先級):保持基礎保護即可。
3 分(低優先級):安全風險可接受,僅需最低限度管理。
3. 操作範例(僅供參考)
資料類型 | 機密性 | 完整性 | 可用性 | 總分 | 等級 |
個案服務紀錄 | 高 (3) | 高 (3) | 高 (3) | 9 | 極高優先級 |
捐款人資料 | 高 (3) | 高 (3) | 高 (3) | 9 | 極高優先級 |
行銷宣傳資料 | 低 (1) | 中 (2) | 高 (3) | 6 | 高優先級 |
廣告效益資料 | 中 (2) | 中 (2) | 中 (2) | 6 | 高優先級 |
組織財報資料 | 高 (3) | 高 (3) | 中 (2) | 8 | 極高優先級 |
員工個人資料 | 高 (3) | 高 (3) | 中 (2) | 8 | 極高優先級 |
活動紀錄文檔 | 中 (2) | 低 (1) | 低 (1) | 4 | 中優先級 |
公共活動行程表 | 中 (1) | 低 (1) | 低 (1) | 3 | 低優先級 |
宣傳素材 | 低 (1) | 中 (2) | 中 (2) | 5 | 中優先級 |
4. 資料等級與對應的存取控制
資料等級 | 保護措施 |
極高優先級 | 啟用數據加密(如全盤加密、傳輸加密)。 嚴格控制存取權限(如雙重驗證、分層存取)。 定期備份,並測試備份可用性。 |
高優先級 | 實施基本加密技術(如檔案加密)。 設置合理存取權限,避免過度開放。 定期檢查系統漏洞並更新。 |
中優先級 | 確保資料存取流程有基本規範。 使用自動化工具定期檢查文件完整性。 |
低優先級 | 採取最低限度保護措施(如僅允許內部人員存取)。 規劃必要的備份策略,應對意外損失。 |
留言