收藏
下载资源 加入VIP免费专享

資訊安全組織程序書.doc

上传人:苏美尔 文档编号:12730296 上传时间:2021-12-05 格式:DOC 页数:7 大小:69KB
返回 下载 相关 举报
資訊安全組織程序書.doc_第1页
第1页 / 共7页
資訊安全組織程序書.doc_第2页
第2页 / 共7页
資訊安全組織程序書.doc_第3页
第3页 / 共7页
資訊安全組織程序書.doc_第4页
第4页 / 共7页
資訊安全組織程序書.doc_第5页
第5页 / 共7页
亲,该文档总共7页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《資訊安全組織程序書.doc》由会员分享,可在线阅读,更多相关《資訊安全組織程序書.doc(7页珍藏版)》请在三一文库上搜索。

1、附件二國立鳳山高級商工職業學校資訊安全組織修訂紀錄版次修訂日期修訂頁次修訂者修訂內容摘要目錄1目的12適用範圍13權責14名詞定義15作業說明16相關文件51 目的確保國立鳳山高級商工職業學校(以下簡稱本校)資訊安全管理制度之資訊安全責任,落實資訊安全政策之推行,並符合下列教育體系資通安全管理規範之控制目標:1.1 為確保本校內部資訊安全管理事項之推動,應建立適當管理架構,以審核資訊安全政策、分配安全責任,並協調本校各項資訊安全措施之實施。1.2 建立與外部資訊安全專家之聯繫管道,以利於安全事件處理及專家意見徵詢。2 適用範圍本校承辦之資訊安全相關業務作業流程。3 權責無。4 名詞定義無。5

2、作業說明5.1 資訊安全組織架構與工作執掌5.1.1 資訊安全組織架構如下圖所示,資訊安全組織成員應填寫於資訊安全組織成員表,若遇人員異動應加以更新。資訊安全委員會資訊安全執行秘書資訊安全小組緊急處理組資訊安全稽核小組5.1.2 資訊安全員會:由本校校長擔任召集人,各單位一級主管及各科主任為委員會委員,負責資訊安全管理制度相關事項之決議。5.1.2.1 每年定期或視需要召開會議,審查資訊安全管理相關事宜。5.1.2.2 視需要召開跨部門之資源協調會議,負責協調資訊安全管理制度執行所需之相關資源分配。5.1.3 資訊安全執行秘書:由資訊安全委員會召集人指派專人擔任。5.1.3.1 負責協調資訊安

3、全小組與緊急處理組執行資訊安全相關作業。5.1.3.2 負責對資訊安全狀況進行預警、監控,並對資訊安全狀況與事件進行處置。5.1.3.3 對於資訊安全管理之改善提出建議,以及協助執行資訊安全之自我檢核。5.1.3.4 對於存取控制管理定期進行事件紀錄檢核,以及管理程序檢核。5.1.4 資訊安全小組:由資訊安全委員會召集人指派人員組成,負責規劃及執行各項資訊安全作業。5.1.4.1 制定資訊安全管理相關規範。5.1.4.2 推動資訊安全相關活動。5.1.4.3 辦理資訊安全相關教育訓練。5.1.4.4 建立風險管理制度,執行風險管理。5.1.4.5 建立安全事件緊急應變暨復原措施。5.1.4.6

4、 執行稽核改善建議事項。5.1.4.7 執行預防措施之改善。5.1.4.8 研討新資訊安全產品或技術。5.1.4.9 執行資訊安全委員會決議事項。5.1.4.10 鑑別資訊安全相關之法規。5.1.4.10.1 資訊安全小組應針對本校所提供之資訊服務,識別資訊安全相關法令、法規及相關要求,並定期檢討與更新。5.1.5 緊急處理組:緊急處理組為任務編組,由資訊安全暨個人資料保護委員會召集人指派人員組成。成員相關權責及作業內容分述如下:5.1.5.1 緊急處理組組長:5.1.5.1.1 當重大資安事件發生時,負責聯絡及召集緊急處理組。5.1.5.1.2 協調及督導各關鍵業務流程負責人執行作業,並協調

5、資源之調派使用。5.1.5.1.3 依據事件評估之結果,得依現況建請資訊安全委員會召集人決議是否宣布災變並啟動業務永續運作計畫。5.1.5.1.4 當災變發生時,配合救災單位負責搶救人員、物資與設備等,以及現場指揮工作。5.1.5.1.5 負責災後協調、指揮清理災害現場。5.1.5.1.6 負責規劃原營運場所之現場復原工作。5.1.5.2 各關鍵業務流程負責人員:5.1.5.2.1 負責召集相關人員,發展、維護、更新修訂及執行各災害復原程序。5.1.5.2.2 每年負責召集相關人員進行業務永續運作計畫之測試演練。5.1.5.2.3 負責原營運場所或異地備援場所之應變、處理、復原及運轉測試工作。

6、5.1.5.2.4 負責災害現場證據收集,俾利未來訴訟與損害求償事宜。5.1.5.2.5 災害現場評估損害狀況及執行原營運場所之現場復原工作。5.1.6 資訊安全稽核小組:由資訊安全委員會召集人指派,負責評估資訊安全管理制度之執行情形。5.1.6.1 擬定資訊安全內部稽核計畫。5.1.6.2 執行資訊安全內部稽核。5.1.6.3 撰寫資訊安全內部稽核報告。5.1.6.4 追蹤不符合事項之改善執行情形。5.2 管理審查會議5.2.1 資訊安全委員會應每年至少召開一次管理審查會議,必要時得召開臨時會議。5.2.2 管理審查會議審查內容建議如下:5.2.2.1 資訊安全稽核結果及建議改善事項。5.2

7、.2.2 上級指導單位、內部同仁及外部單位等利害相關團體的建議。5.2.2.3 新資訊安全產品或技術導入之審查。5.2.2.4 矯正及預防措施檢討。5.2.2.5 風險評鑑適切性審查。5.2.2.6 前次管理審查會議決議執行狀況。5.2.2.7 影響資訊安全制度之任何變更事項。5.2.2.8 資訊安全組織成員所提出之改善建議。5.2.2.9 資訊安全目標執行狀況報告。本校依據資訊安全政策所列之範圍及目標制定ISMS有效性量測表,並以該量測結果做為評估本校資訊安全目標達成情形。5.2.3 管理審查會議之結論建議如下:5.2.3.1 資訊安全制度執行之各項改進措施。5.2.3.2 更新風險評鑑與風

8、險改善計畫。5.2.3.3 針對可能影響資訊安全制度之內、外部事件,修正資訊安全管理流程與控制措施,包括:5.2.3.3.1 營運需求的變更。5.2.3.3.2 安全需求的變更。5.2.3.3.3 影響現行營運需求的業務程序變更。5.2.3.3.4 管理或法規需求的變更。5.2.3.3.5 契約要求的變更。5.2.3.3.6 可接受風險等級或標準的變更。5.2.3.4 針對資訊安全制度之需要,協調所需之資源。5.2.3.5 控制措施有效性評量方式的改善。應每年檢視ISMS有效性量測表之量測結果與執行情形,並檢討量測項目與目標水準是否需進行調整之必要,做成改善決議。5.2.4 管理審查紀錄管理審查會議為資訊安全管理制度重要之活動,由相關人員依權責辦理。5.3 組織間的合作及協調由資訊安全小組相關人員依權責辦理。6 相關文件6.1 資訊安全政策。(附件一)6.2 資訊安全組織成員表。(附件三)4

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1