iPAS 資訊安全工程師 考試重點

資產指的是任何對組織有價值的事物。資訊資產則是指與「資訊」及其處理、儲存或傳輸流程有直接關聯，且對組織具有價值或影響的事物。 資產包含有形（如：硬體、文件）和無形（如：軟體、資料、商譽）的事物。 資訊本身也是一種資產，可以以多種形式存在。 (資料來源：110初級-管理概論 Q14)

常見的資訊資產類型包括：

• 資訊：資料庫、文件檔案、系統文件、研究資料、使用者手冊、訓練教材、操作程序、支援程序、業務持續計畫、備援安排、歸檔資訊等。
• 軟體：應用程式軟體、系統軟體、開發工具及公用程式等。
• 硬體：處理器、監視器、筆記型電腦、行動裝置、週邊設備、網路設備等。
• 服務：計算及通訊服務、一般公用服務（如：暖氣、照明、電力、空調）等。
• 人員：人員及其資格、技能與經驗等。
• 無形資產：組織的聲譽及形象（例如：商譽）。

辦公桌椅等非直接涉及資訊處理的物品，不屬於資訊資產。 (資料來源：110初級-管理概論 Q14, 110初級-管理概論 Q20, 108初級-管理概論 Q10)

進行資產盤點的主要目的包括：

• 識別和管理資訊資產：釐清組織擁有什麼資產、資產在哪裡、由誰負責。
• 掌握資產現況：了解資產狀態（是否正常運作、是否需更新）、保管人是否有變動。
• 支援風險評估與管理：識別潛在風險，採取控制措施。
• 資源最佳化：避免閒置或重複投資，確保有效利用。
• 符合法規遵循：滿足相關法規和標準要求。
• 支援決策：為資安策略、預算編列提供依據。

銷售資訊資產或增加資產價值並非盤點的主要目的。 (資料來源：109初級-管理概論 Q8, 112初級-管理概論 Q14, 113管理 Q14)

資產盤點應定期進行，通常每年至少一次，以確保資訊的準確性。此外，當發生重大變更時（如新系統上線、組織架構調整、重大資安事件後）也應進行盤點。
盤點並非只在資產報廢時才進行。 (資料來源：109初級-管理概論 Q8, 112初級-管理概論 Q15, 113管理 Q17)

資產盤點程序可由組織個別業務活動流程開始，不一定需要從特定類別資產（如資訊類、軟體類或硬體類）開始。盤點應考量全面性，並確認資產的使用狀況與可用性。 (資料來源：112初級-管理概論 Q17, 112初級-管理概論 Q18)

建立資產清冊是進行資產管理時應優先進行的工作，目的是為了適切地保護資產。 (資料來源：110初級-管理概論 Q15, 111初級-管理概論 Q20)

資產清冊應包含識別資產及管理所需的資訊，例如：

• 資產名稱
• 資產類型
• 資產標籤/編號
• 位置
• 權責單位 (擁有者、保管者)
• 資產價值 (重要性、敏感性)
• 分類分級

清冊應文件化並定期維護。不一定需要標示資產購置時的成本和費用。可移除式媒體（如 USB）也應登載於清冊中以利追蹤。財產報廢並非資產清冊可用來支援的項目。 (資料來源：109初級-管理概論 Q15, 110初級-管理概論 Q15, 110初級-管理概論 Q19, 113管理 Q15)

資產分類是依據資產的類型進行歸類，例如區分為資訊、軟體、硬體、服務、人員等類別。目的是為了方便管理和套用適當的控制措施。
分類方式沒有固定標準，各組織可依自身環境和運作需求自行設計。企業資源規劃 (ERP, Enterprise Resource Planning) 系統通常歸類為軟體資產。 (資料來源：110初級-管理概論 Q15, 112初級-管理概論 Q19, 112初級-管理概論 Q20)

資產分級是依據資產對組織的重要性和敏感性，賦予不同的保護等級。主要目的是確保重要的資訊受到適切等級的保護。
分級基準通常考量：

• 機密性 (Confidentiality)
• 完整性 (Integrity)
• 可用性 (Availability)
• 法規遵循要求

分級結果有助於風險評估和控制措施的選擇。分級結果不需考慮產業別差異，但應反映資產對業務流程的重要性。分級後應進行適當標示。 (資料來源：109初級-管理概論 Q9, 109初級-管理概論 Q14, 109初級-管理概論 Q21, 110初級-管理概論 Q17, 110初級-管理概論 Q21, 111初級-管理概論 Q23, 111初級-管理概論 Q24, 111初級-管理概論 Q30, 113管理 Q16, 113管理 Q19)

資產分級的主要目的是協助組織定義資產對組織的重要性，以便投入適切的保護資源。例如，機密等級高的資料（如人事資料）需要比公開資料（如公司官網）投入更多的保護措施。不同價值的資產不應投入相同的保護資源。 (資料來源：109初級-管理概論 Q21, 110初級-管理概論 Q17, 111初級-管理概論 Q24)

評估資訊資產價值時，主要考量其機密性、完整性、可用性對組織營運的影響程度，而非僅看採購金額或折舊。機敏性 (Sensitivity) 是最適合納入評估的面向之一。
資產的價值取決於其重要程度與敏感程度，而非購入價格。 (資料來源：108初級-管理概論 Q12, 109初級-管理概論 Q9, 109初級-管理概論 Q19, 109初級-管理概論 Q14, 111初級-管理概論 Q23, 113管理 Q16)

資訊資產的管理涉及不同角色：

• 資產擁有者 (Asset Owner)：通常是部門主管或業務負責人，對資產的整體管理（分類、分級、風險處理）負最終責任，但不一定擁有資產的財產權。他們負責決定誰可以使用資產以及如何使用。
• 資產保管者 (Asset Custodian)：通常是 IT 部門或系統管理人員，負責資產的日常維護、操作與安全保護，執行擁有者制定的政策。
• 資產使用者 (Asset User)：組織內所有需要存取和使用資產的人員，有責任遵守使用規定。

擁有者負責確保資產已盤點造冊、適切分級並受保護，以及在刪除或銷毀時確保適當處置。但例行維運工作不一定需要擁有者親自完成。 (資料來源：108初級-管理概論 Q11, 109初級-管理概論 Q13, 110初級-管理概論 Q16, 110初級-管理概論 Q19, 111管理 Q34)

服務資產 (Service Asset) 指對業務運營提供支援的服務，例如電力供應、網路服務、空調等。電力被歸類為服務資產。 (資料來源：109初級-管理概論 Q20, 111初級-管理概論 Q50)

租賃的雲端服務系統雖然未列為會計科目資產，但其上儲存的資料屬於企業組織的資產，系統本身也屬於需識別的服務資產，皆應納入資產盤點與管理的範圍。 (資料來源：108初級-管理概論 Q14)

人員及其技能、經驗也被視為組織的重要資產，應納入資產盤點與管理。委外廠商人員不屬於組織內部人員資產。 (資料來源：112初級-管理概論 Q18)