四、資訊安全等級評估
為釐清保護資訊安全標的,確定各項資訊安全需求水準,以作為後續
選擇適當之資訊安全控制措施,各電信事業宜執行下列步驟:
(一)每年重新檢視、評估資訊安全管理之資訊安全等級。
(二)填寫「電信事業資訊安全等級自我評估彙整表」(附件一)及「電
信事業資訊安全等級自我評估說明表」(附件二)。
評估資訊安全等級步驟如下:
(一)視需要建立多個作業編號。
(二)每個作業編號依部門別、系統別、業務別或實體區域別等四種定義
別,單選一個定義別或複選多個定義別,以選定作業範圍。
(三)針對每個定義別依資料保護受到損害及影響業務運作之影響構面,
分別評估影響構面之影響等級屬 A 級或 B 級。
(四)每個作業編號中,如有任一影響構面之影響等級為 A 級者,則該
作業編號之資訊安全等級應評估為 A 級。如全部影響構面之影響
等級均為 B 級者,則該作業編號之資訊安全等級應評估為 B 級
。