一、 產品/服務名稱及自主研發成份說明

本產品主要為提供組織在資訊資產的盤點完整性與正確性及如何針對資產價值與資安弱點的管控，並在資訊資產群組式分類的概念下，能夠快速的判斷弱點與威脅並找尋解決組織所面臨的風險並可提出改善計畫。以更直覺式、更精準的快速面對資安漏洞併可做改善的追蹤與管理。

整個產品的設計與研發皆依照ISO-27001規範指引設計，百分百為國產研發產品，無境外資源投入。

在技術平台的運用上，本公司在系統永續發展的考量下，採用漏洞修補快 速且易於取得維護人力之 Windows Server 及 SQL Server 作為系統運作環境。 程式架構則採用運作效能與穩定性最佳的微軟.NET 解決方案，並以三層式架構(Three-Tier)規劃整體系統且由於本公司為微軟「金級」技術合作夥伴，本專案系統能夠獲得最佳的技術保障。

在專案開發的程式語言以 ASP.NET、C#為主，架構上採用 Microsoft ASP.Net MVC 5 做為本專案各系統之主要開發技術及框架。

同時，本公司內部資訊安全規範，制定了《資安上線稽核表》，規範各負責專案經理於程式開發階段，就進行資安設計，並審查程式設計是否依規範撰寫，以符合安全軟體開發生命週期（SSDLC）規範之精神。

二、 產品/服務功能說明

整套ISMS資訊資產及風險評鑑管理系統的開發乃依據ISO27001/ISMS精神所設計：

1. 將四階文件如政策、程序書、作業辦法、表單等，可依時間與版本上傳公告亦可下載供各單位使用。如此能將公司政策及執行方向向所有同仁佈達。

2. ISO27001針對資訊資產的正確性與完整性是重要的。資通系統與資訊各類資產的建立與送審皆有嚴格的把關，相互對應，符合法遵上的要求。

3. 依照部門別及群組式威脅弱點風險評鑑，可有效過濾出超過系統所設定的風險係數標準的資產群組或類別，做快速回應與處理，並有流程追蹤管控改善進度。

綜上所述，本系統除可協助組織內的資安管理人員在上千上萬筆的資產中做正確的追蹤管理，並於風險危害發生前，透過系統化的自我評鑑，也可結合稽核顧問的輔導意見，產生風險改善計畫，防範於未然。也可透過各類型情境式的評鑑模擬，迅速知道組織需調整的政策，甚或在組織內外部發生資安事件時，能夠提供指引對應的處理方式參考。

產品特色：

1. 依組織稽核計畫彈性發起盤點作業。

2. 單一帳號多重權限(單位/角色)設定。

3. 代理人風險管控設定。

4. 彈性自建下拉自定義選單資料。

5. 資產快速複製功能。

6. 資產異動審核機制及審核歷程記錄。

7. 資產弱點、威脅群組式管理機制。

8. 自動計算資產風險。

9. 資產清冊產製及匯出功能。

10. 跨國企業多語系介面(中/英)。

三、 產品/服務之應用情境說明

1. 適合之應用領域說明：由於資安事件頻傳，常造成組織的重大損失，不管是因客戶資料的外流導致詐騙案件頻傳，或因遭勒索病毒滲透而造成鉅額付款，都會造成組織極度的困擾和產生沒必要的財損，甚至影響正常營運。因此若有一套系統能有效的針對資產做盤點與分類並可隨時更新，且能彈性的依組織資安要求與規範，適時的查證組織內的硬體、軟體、資料、人員等資產弱點與威脅，產出風險評鑑報告，並做改善與追蹤，便能夠做好防護措施。

2. 過去已有之應用案例：在實際案例上，目前已有一公家單位，以及一家官股銀行與一家民營指標銀行採用了這套資訊資產風險評鑑管理系統，在資訊軟硬體資產數量眾多填單不易，場域分布廣闊，人員工作量密集狀況下，常造成資料填寫不確實，管理紙本作業繁雜，作業流程規範無法清楚傳達等等因素。現有客戶已成功的利用此系統，完整建立資訊資產風險管理機制，快速解決資安的議題。