# ISRM 智能資安風險管理平台-軟體需求與功能規格書 *文件版本: 1.0.0 作者: Vincent Lee 修改時間: 2022.09.20* : ## Contents 1. 需求規格 1.1 功能需求 1.2 非功能需求 1. 功能規格設計 1. API規格 1. 測試案例分析 1. 系統環境規格 ## 1. 需求規格 > 需求規格內容包含規則與關鍵實例說明。 > 規則的撰寫方式可以將客戶的表達以條列式的方式呈現，而且，為了有效說明需求內容，描述完需求內容規則之後會加入關鍵實例(key example)以輔助說明需內容的操作範例。 需求規格書的主要目的是讓需求提供者確認需求描述是否符合實際需求，也可以在內部召開需求規格書檢視會議時讓開發團隊了解需求，若有任何問題或疑問可以立即提出，專案經理可以馬上回覆或修改需求規格書內容，如此可以在軟體開發的早期就減少需求不明確的情況。 ### 1.1 功能需求 #### 1.1.1 首頁模組設定 * ISRM個人化儀表板，提供快速了解待辦事項、行事曆、資訊圖表顯示等彈性版面設定，並支援RWD響應式網頁設計，一站解決多種裝置顯示問題。 #### 1.1.2 報表管理 * 可針對平台表單、資料蒐集、API介接等多種資料來源，進行資料表彙總，並將結果之報表呈現於平台首頁。 #### 1.1.3 資料圖像化 * 平台產製之報表，易可透過圖像化模組進一步視覺化，並掛載於平台首頁。 #### 1.1.4 作業通知 * 管理者可針對不同作業、特定人員、單位或群組設定通知，可維護通知標題、內容與通知日期等資訊。 * 管理者可設定各類作業(資訊資產管理、業務管理、風險評鑑及有效性量測等等)的回報日期與應完成日期，通知及催辦指定人員進行相關作業，並提供審核功能。 * 系統提供待辦作業清單介面，說明尚未完成之作業項目與數量，並提供連結供使用者快速連結至各項待辦作業(包含表單、工作清單、資料蒐集任務等等)。 #### 1.1.5電子表單 1.1.5.1 表單填寫/審核 * 可自由挑選發布的對象，包括個人、單位、群組或角色。 * 站點式簽核流程管理，提供介接外部系統站點資訊。 * 進度查詢:簽核進度查詢、簽核歷程記錄。 * 表單通知: 即時推播、電子郵件。 * 表單專區：表單申請、常用表單、我的申請單、代理申請單、待簽核表單、被知會表單、已簽核表單、表單暫存、範本、作廢等表單功能。 1.1.5.2 表單製作/設計 * 拖曳式表單編輯設計，讓使用者快速上手，滿足各機關使用需求。 * 提供多階層資料管理系統，階層式管理文件，並支援彈性的欄位新增、修改，提供介接表單使用，讓您輕鬆維護表單相關之參考資料來源。 * 新增[列印設定]，讓表單管理者可以輕鬆調整表單列印格式。 * 表單設定：表單設計、運算設定、引導式步驟設定、欄位控制、法則設定、表單查詢設定、列印設定、匯出報表設定。 * 表單元件：單行/多行輸入、數字、單/多選、下拉式選單、Email、日期、選取人員、選取單位、檔案上傳、動態/固定/自訂表格、歷史資料、填單者資訊、地址、Script按鈕、自訂HTML、四則運算。 * 簽核流程: 站點式管理、樹狀流程、外部站點介接、範本設定。 * 權限管理：人員管理、角色管理、單位管理、群組管理。 * 多階層資料管理系統：階層式管理文件，並支援彈性的欄位新增、修改，提供介接表單使用。 * 彈性表單欄位設定，自動產生對應之統計報表。 * 系統自動四則運算設計，數字類型欄位自動根據設定公式計算。 * 表單欄位設計上新增更多元彈性之表單項目，如固定表格、自訂表格、歷史資料、單/多選階層選項，另下拉選單提供API及多階資料管理系統等多元資料來源，以因應客戶多樣需求。 * 表單轉單管理：一次性將同一簽核者之表單移轉至他人簽核。 #### 1.1.6 資料蒐集 1.1.6.1 資料蒐集任務設定 * 蒐集對象管理:可自由挑選蒐集發布的對象，包括個人、單位、群組或角色職級，且蒐集次數可設定一次或不限。 * 週期設定:可自由決定蒐集期程，包含臨時性與例行性蒐集需求，輕鬆管理各項填報任務與時間。 * 分派設定:在資料蒐集週期內允許被指派填報者繼續向下進行蒐集任務分派，可察看分派狀況與報表彙總下載。 * 填報管理總覽:輕鬆查看蒐集對象之表單填報狀況與進度、完整歷程記錄 * 稽催提醒:稽催設定自訂系統排程通知、即時推播主動通知指定填寫人/填寫人主管、單位或自訂人員，即時了解蒐集狀況。 * 統計分析:自動依循所設計表單欄位，產生對應之統計報表。 * 匯入/匯出:支援檔案直接匯入/匯出，利於蒐集的整合管理。 1.1.6.2 資料蒐集表單製作/設計 * 提供拖曳式表單版面與欄位設計。 * 提供19種表單元件與3種版面配置。 * 提供預設隱藏與欄位控制功能，支援欄位條件式設定顯示。 * 自動四則運算設計，數字類型欄位自動根據設定公式計算，同時支援表格內橫向/縱向加總設定。 * 法則與流程設定:拖曳式站點設定，支援各式業務流程需求。 * 列印設定:讓表單管理者可以輕鬆調整表單列印版面配置樣式。 * 站點式簽核流程管理，提供介接外部系統站點資訊。 #### 1.1.7 數位學習 * 完整資安教育訓練記錄，可直接進行線上數位學習，記錄學員閱讀時數，並支援內訓、外訓實體課程訓練記錄、上課人數、並可同時彙整上課人數、測驗成績等資訊、可介接線上測驗系統並進行資訊整合、閱讀紀錄，掌握學習狀態。 * 線上測驗:自訂測驗題目(單選/複選/圖片、影片等、..)、線上填答、系統自動計分、匯出統計報表。 #### 1.1.8 文件版控 * 完整文件版控，提供文件版本管控、指定查閱存取權限、審核完成自動公告並將舊版下架以保持最新版本、查閱文件所有版本修訂歷程。  * 提供最新版次文件新增、維護、查詢、瀏覽、下載功能，並依文件類別設定瀏覽權限與審核人員，審核後自動完成發布與公告。 * 提供各文件版本版次控管功能，並可進行文件下架，以保持平台一致使用最新版本文件。 * 提供歷史文件與版次文件查詢、瀏覽與下載功能，可查閱文件所有版本修訂歷程。 #### 1.1.9 任務追蹤 * 有效控管關鍵任務，透過任務追蹤管理，列出定期工作項、整合至負責人行事曆、提前通知負責人、稽催負責人，進行工作室項審核；並與風險評鑑改善計畫、內部稽核矯正措施處理介接。  * 可透過手動或批次匯入方式建立交辦任務，欄位包含任務名稱、任務說明、主要負責人、執行人員、開始日期、預定完成日期、完成日前通知設定、相關檔案上傳等，任務可同步整合製負責人行事曆，並可設置完成日前提醒通知 * 每項任務支援設定一位主要負責人與多位執行人員，並提供獨立回報進行狀況之功能。 * 可查詢及匯出任務清單，查詢欄位包含任務名稱、目前任務狀態、逾期狀態、任務來源、建立日期、開始日期等；匯出資料欄位包含任務名稱、任務說明、主要負責人、執行人員、任務回報內容、目前任務狀態、任務來源、開始日期、預定完成日期等。 * 任務主要負責人可填寫各項工作辦理情形、附件、任務狀態等欄位。 * 提供主管針對任務項目對負責人進行稽催、審核、結案功，並自動通知主要負責人審核結果與審核意見。 #### 1.1.10 基本資料管理 1.1.10.1 弱點威脅設定 * 可維護風險評鑑作業中的基本資料項目，包含弱點項目與威脅項目；其中弱點項目可由組織自訂，或是直接使用相關法規條例(例如:ISO 27001:2013)。 * 威脅項目從屬於弱點項目，意即，弱點與威脅為一對多關係。 * 可針對弱點項目與威脅項目分別設定風險評鑑預設值。 * 可在弱點項目上綁定相關之ISO控制措施項目。 * 可針對威脅項目設定C、I、A屬性。 1.1.10.2 資產類別設定 * 可維護資產類別屬性，此屬性將在資產管理模組中提供設定引用。 * 可將弱點項目與特定資產類別進行關聯綁定。 1.1.10.3 風險評估表設定 * 可設定資產價值計算式，包含資產價值評估指標、標準、等級與評估值，此設定將在資產管理模組中提供設定引用。 * 提供針對資產管理模組介面的欄位名稱設定、排序設定、欄寬設定、啟用/關閉設定、開啟查詢條件、動態新增欄位等。 * 提供針對業務管理模組介面的欄位名稱設定、排序設定、欄寬設定、啟用/關閉設定、開啟查詢條件、動態新增欄位等。 * 可設定風險值計算式，根據資產價值與自訂之鑑別風險指標進行運算式設定。 * 提供針對風險評估表介面的欄位名稱設定、欄寬設定、啟用/關閉設定、動態新增欄位。 * 1.1.10.4 鑑別風險設定 * 可維護風險值計算指標、標準、等級與評估值，此設定將在風險值設定與風險評估中被引用。 #### 1.1.11 資產管理 * 可新增、修改、刪除資產項目資料。 * 可自訂相關權責、保管、使用單位。 * 可設定資產負責人，此人員將在進行資產盤點、資產面風險評鑑時負責相關資產的項目評鑑。 * 可設定資產審核人，此人員將在進行資產盤點、資產盤點與風險評鑑時負責相關資產的項目評鑑審核。 * 系統將根據1.1.10.3之設定，自動計算資產價值。 * 可在此模組中維護財產資料庫，並選擇需同步至資產資料庫的項目。 #### 1.1.12 資產清冊管理 * 可根據當前最新的資產資料庫狀態建立資產清冊。 * 提供審核機制。 * 可針對兩期之資產清冊進行差異比對分析，亦可匯出分析結果。 #### 1.1.13 業務管理 * 可新增、修改、刪除組織的業務項目資料。 * 可自訂相關權責單位。 * 在業務項目下，可設定所使用之資產項目；並可選擇根據不同之業務屬性，重新評定資產價值(系統將根據1.1.10.3之設定，自動計算資產價值)。 * 可將資產進行群組化，提供兩種設定方式:系統邏輯判定(根據CIA屬性與資產類別)與自定義分群。 * 可設定業務負責人，此人員將在進行業務盤點、業務面風險評鑑時負責相關資產的項目評鑑。 * 可設定資產審核人，此人員將在進行業務盤點、業務盤點與風險評鑑時負責相關資產的項目評鑑審核。 * 可填寫相關業務持續性指標，包含RTO, RPO, MTPD等。 * 可針對業務項目下多個資產項目間建立階層關聯，並根據關聯自動生成業務資產拓樸圖。 #### 1.1.14 資產群組管理 * 資產群組項目由1.1.13中的群組化設定而來，每一資產群組從屬於某一特定業務項目。 * 提供根據業務項目進行資產群組查詢與瀏覽。 * 提供根據資產群組項目進行查詢與瀏覽。 #### 1.1.15 風險評鑑 * 系統化風險評鑑，以系統方式建立弱點威脅、資產、業務、類別、彈性設定鑑別風險管理，提供智能風險評鑑完整流程(風險評估、風險門檻值設定、風險評鑑彙整、風險改善計畫-可介接任務追蹤管理系統、完成風險改善計畫) 可即時透過資產與業務關係拓璞圖評估資產價值與資安問題擴散風險。 * 新增新一年度風險評鑑時，可選擇手動新增或或根據前期風險評鑑建立新表並帶入評估項目，亦可選擇帶入前期評估項目與評估結果(包含弱點、威脅、風險鑑別指標、風險值、風險水準等等)。 * 可依年度條件查詢評鑑作業，並查看評鑑項目，包含業務、資訊資產類別、資訊資產群組、權責單位、評鑑狀態等等欄位。 * 弱點、威脅項目建立:包含弱點名稱、對應威脅名稱欄位。 * 資訊資產透過設定資產類別與弱點、威脅關聯。 * 提供風險門檻值之設定：可設定可接受風險值，高於該數值者，納入風險改善標的。 * 可新增及編輯風險參數項目，包含資產價值計算指標與公式、風險鑑別指標與風險值計算公式、風險水準區間設定、資產管理系統欄位設定、業務管理系統欄位設定、風險評估表欄位設定。 * 資訊資產可透過資產群組管理進行資產群組化，並依該群組為單位進行風險評鑑。 * 使用者可對所屬單位之資訊資產進行風險評鑑。 * 可選擇評鑑項目，並顯示資產類別、單位、負責人、資訊資產群組、弱點、威脅、風險鑑別指標、風險值、風險水準等欄位提供評鑑，各欄位依據風險基本設定(包含資產類別管理、弱點威脅設定、鑑別指標管理、風險評估表設定、資產管理、業務管理等等)之關聯設定呈現。 * 提供風險評估表審核、門檻值審核、風險改善計畫表審核功能。 * 回報介面應依據單位及負責人員等欄位，顯示應回報之風險評鑑項目。 * 大於可接受風險值之資產列為風險處理標的，並提供根據關鍵字、負責人、資產類別、建立日期等條件查詢，查詢結果欄位包含單位、資產群組名稱、弱點項目、威脅項目、風險鑑別指標、風險值等欄位。 * 納入風險處理之資產項目提供填寫任務指派、現況說明、風險改善建議措施、ISO 27001控制目標與條文、建議權責單位、預計改善時間等欄位。 * 對納入風險處理之資產提供再評估機制，並於再評鑑介面中顯示原評鑑結果做為比較參考。 * 可匯出風險評鑑表，支援下載結案之風險評鑑報告。 #### 　1.1.16 有效性量測 * 可維護量測項目，並針對個別項目指定負責填寫人員。 * 根據量測項目設定，系統自動生成有效性量測表。 * 提供彙整、審核機制。 #### 　1.1.18 營運持續演練規劃 * 可維護業務持續演練計畫，包含相關之承辦人、審核人、協辦單位、規劃日期、演練目標與範圍、演練腳本、演練參與人員等等。 * 提供審核機制。 #### 　1.1.19 持續演練執行 * 可維護業務持續演練執行表，包含相關之承辦人、審核人、協辦單位、規劃日期、計畫執行期間、演練項目與結果等等。 * 提供審核機制。 #### 　1.1.20 營運衝擊分析 * 透過根據設定RTO, RPO, MTPD門檻值，從業務管理系統中篩選出核心/關鍵業務，進行衝擊分析。 * 衝擊分析內容包含流程/系統說明、衝擊影響評估、重要分級、備援機制等等。 * 提供審核機制。 #### 1.1.21 稽核項目管理 * 可維護多種稽核準則/法源依據/資安規範，並以層級架構介面管理、呈現文件架構。 * 可針對準則中的條款逐一設定勾稽之相關佐證資料，支援系統資料引用(例如:風險評鑑、業務持續演練等)、自訂外部連結、自訂上傳檔案等方式。 * 此設定將在1.1.22內部稽核與1.1.24外部稽核時提供設定引用。 #### 1.1.22 內部稽核 * 可新增、修改、刪除內部稽核作業、包含設定引用之稽核準則、指派稽核人員/彙整人員/審核人員。 * 系統預設根據所引用之稽核準則自動引入相關佐證資料，使用者亦可再自行上傳佐證資料。 * 提供多人稽核下的內部稽核結果彙整功能。 * 提供內部稽核結果審核機制。 * 可根據內部稽核審核完畢後的結果產生內部稽核報告。 * 可自訂稽核發現事項類別，包含需針對哪些項目類別開立矯正措施處理單。 #### 1.1.23 稽核矯正措施處理 * 可根據內部稽核結果自動開立矯正措施處理單，亦可由使用者自行新增矯正項目，並指定相關負責人員、追蹤人員與審核人員。 * 矯正措施內容包含建立長短期對策、處理矯正項目(提供介接任務追蹤系統)、追蹤矯正項目。 * 提供審核機制。 #### 1.1.24 外部稽核 * 可新增、修改、刪除外部稽核作業、包含設定引用之稽核準則、指派負責人員、權責可閱覽人員。 * 系統預設根據所引用之稽核準則自動引入相關佐證資料，使用者亦可再自行上傳佐證資料。 * 可設定資料審查期間之資料篩選條件。 * 建立外部稽核儀表板。 ### 1.2 非功能需求 * 本系統需符合下列非功能規格要求: * 需具備多國語言功能，支援中文與英文，並且使用者可以切換語系。 * 需能達到100人同時上線,使用Jmeter進行測試。 * 前台功能與後台功能的所有操作皆需留下log資訊。 * 網頁的網址需支援https。 ## 2.功能規格設計 專案經理完成需求規格書之後，接下來系統分析師需要完成功能規格書內容。系統分析師依據需求規劃出不同的系統功能並設計出系統規格，該內容主要是給系統分析師、程式設計師與測試人員參考，同時也可以給專案經理再次確認需求規格與功能規格內容是否符合。系統規格的撰寫要點說明如下： * 畫面連結位置：說明如何進入到這個功能的操作畫面。 * 功能說明：以使用者的角度說明該功能內容。 * 畫面說明：完成系統畫面，可與需求提供者確認是否符合實際需求，同時也讓開發團隊了解系統未來會長什麼樣子。 * 欄位/項目屬性說明： * 說明系統畫面裡的欄位屬性，例如輸入欄位的可輸入長度、下拉式選單有哪些選項等。 * 需要特別說明的是在項目屬性說明中包含element id. element id用來說明每個HTML欄位的id值, 而且在每一頁中的id值不會重覆. 說明element id值的目的是為讓之後做UI自動化測試時比較容易取得tag element. * 操作說明：說明每一個可操作的元件(例如按鈕)的操作行為，詳細說明操作過程與系統反應結果。 ## 3.API規格 ## 4.測試案例分析 ## 5.系統環境規格 瀏覽支援包括Windows、IOS、Android系統之手機及平板等。  以下為主系統之需求規格: | 軟硬體規格 | 說明 | | ---------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | 軟體規格 | 作業系統：Windows Server 2016;  程式語言：.NET Core 3.1 ; 資料庫：MS SQL Server 2016 & POSTGRESQL 11.7| | 硬體規格 | 應用程式主機(虛擬機CPU：4 Core, RAM：8GB, HDD：80GB (C:\ OS); 資料庫主機(虛擬機CPU：4 Core, RAM：16GB, HDD：80GB (C:\ OS), 150GB(D:\Data);  WEB STORGE (虛擬機CPU：8 Core, RAM：4GB, HDD：80GB (C:\ OS), HDD:500GB (D:\ Data);  備份/測試主機虛擬機CPU：8 Core , RAM：8GB, HDD：80GB (C:\ OS), HDD:500GB (D:\ Data)  | 建議規格皆為以上亦可使用