您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 雲林縣政府資訊安全組織管理程序
公發布日: 民國 98 年 01 月 17 日
修正日期: 民國 98 年 01 月 17 日
發文字號: 府計資字第0981100014號
法規體系: 計畫類
圖表附件:
法規功能按鈕區
壹、目的 
    雲林縣政府(以下簡稱本府)為統籌資訊安全相關事務之整體規劃、
    評估、督導、協調、推動及資安事故處理等事項,以確保資訊安全管
    理系統(以下簡稱 ISMS )之正常運作,特訂定本「資訊安全組織管
    理程序」(以下簡稱本程序),期能達成以下目的:
一、建立 ISMS 組織,制定分工及管理責任,以利被指派之人員有所遵循
    。
二、透過管理階層的審查,以確認 ISMS 政策和目標的適用性、適切性與
    有效性,並能持續改善。


貳、適用範圍 
    本程序適用於本府 ISMS 實施範圍所涵蓋的所有區域及所有相關資產
    的管理與審查。


參、權責 
一、縣長或其授權人核定、發布本程序。 
二、ISMS  執行小組研擬、評估及檢討本程序。 
三、ISMS  執行小組組長審查本程序,並督導本程序之執行。 
四、ISMS  管理師協調及彙總本程序之執行。


肆、定義 
    無。


伍、管理項目 
一、資訊安全組織與權責 
(一)組織架構 
      1.資訊安全管理委員會
     (1)依據本府「資訊安全管理委員會設置要點」之要求,成立本府
          跨單位之「資訊安全管理委員會」,主導資訊安全相關政策制
          定及決策事宜,並統籌資訊安全管理等事項之協調及推動。
     (2)置正、副召集人各一人,分別由本府副縣長及計畫處處長擔任
          ;置執行秘書一人,由計畫處資訊管理科科長擔任;委員十七
          人,由本府就下列人員派兼之:本府政風處處長、主計處處長
          、人事處處長、行政處處長、水利處處長、文化處處長、新聞
          處處長、地政處處長、城鄉發展處處長、勞工處處長、社會處
          處長、農業處處長、教育處處長、工務處處長、建設處處長、
          財政處處長、民政處處長。
     (3)資訊安全管理委員會組織架構,如附件所示。
      2.資訊安全管理系統(ISMS)執行小組
     (1)於資訊安全管理委員會下設置「資訊安全管理系統執行小組」
          (以下簡稱 ISMS 執行小組),以進行資訊安全相關作業之執
          行。
     (2)置組長一人,由計畫處資訊管理科科長擔任;置 ISMS 管理師
          一人(兼資安聯絡人),由 ISMS 執行小組組長指派;組員由
          資訊管理科同仁及人事處掌管員工到離職業務同仁兼任,會同
          其他相關單位人員辦理,以統籌管理本府 ISMS 相關程序、計
          畫、資源調度等事宜。
      3.資訊安全管理系統(ISMS)稽核小組 
     (1)於資訊安全管理委員會下設置「資訊安全管理系統稽核小組」
          (以下簡稱 ISMS 稽核小組),以進行資訊安全相關稽核作業
          之執行。 
     (2)置組長一人,由政風處處長擔任,組員由政風處會同相關單位
          人員辦理,統籌管理本府 ISMS 相關執行成效及稽核管制等事
          宜。
(二)權責與職掌 
      1.資訊安全管理委員會
     (1)管理委員會
          A.設定策略性方向與長期目標,制定或核定各項資安流程決策
            ,審核流程制度文件。
          B.宣導流程實施與改善工作,去除人員抗拒。
          C.核定 ISMS 執行小組成員,並賦予流程實施與改善所需資源
            。
          D.確保實施範圍同仁在流程執行過程中,均受過足夠的專業訓
            練及資源分配。
          E.審查 ISMS 制度問題與建議改善事項。
          F.審查資安流程實施與改善成效,督導資安流程改善作業進度
            與缺失改善情形。
     (2)召集人
          A.ISMS  制度執行政策之核定與實施。
          B.宣導落實流程實施與改善之要求,以及取得並維持 ISO2700
            1/CNS27001  驗證之決心與承諾,協助排除推動障礙。
          C.督導並賦予適當之資源,以確保 ISMS 執行小組、ISMS  稽
            核小組、實施範圍相關單位、其他支援單位等具有足夠資源
            實施 ISMS 流程制度,並能有效落實執行與持續改善。
          D.ISMS  政策、制度及流程實施時如有執行爭議,統籌負責跨
            部門協調事項。
     (3)副召集人
          協助或代理召集人,推動並督導 ISMS 制度相關推動工作。
     (4)執行秘書
          A.本府之 ISMS 管理代表。
          B.承資訊安全管理委員會之授權,規劃、建置、維運及持續改
            善 ISMS 。
          C.推動並督導 ISMS 制度相關推動工作,以取得並維持 ISO27
            001/CNS27001  之驗證有效性。
     (5)委員
          A.ISMS  制度執行政策之制訂與實施。
          B.對所轄部門同仁持續傳達落實 ISMS 制度及 ISO27001/CNS2
            7001  標準要求之重要性。
          C.對所轄部門同仁宣導取得並維持 ISO27001/CNS27001  驗證
            之決心與承諾,協助排除推動障礙,推動實施與改善事宜。
          D.督導並賦予適當之資源,以確保所轄部門同仁有足夠資源實
            施 ISMS 流程制度,並能有效落實執行與持續改善。
          E.建立與跨部門間有效溝通機制,包含對 ISMS 流程制度有效
            性之溝通。
          F.參與管理審查及流程制度文件審查工作。
      2.資訊安全管理系統(ISMS)執行小組
     (1)執行小組
          A.規劃、建置及維運 ISMS 制度。
          B.負責流程執行所需文件、紀錄等之研擬、維護、發行、管制
            等之管理工作。
          C.規劃及執行資訊安全相關推動工作。
          D.資訊安全相關資產資料之建立、盤點與維護,執行風險評鑑
            與風險管理相關作業。
          E.規劃風險發生時之危機處理程序及應變計畫;風險發生時,
            執行緊急應變措施。
          F.辦理危機事件發生時之通報作業,確定影響範圍並作損失評
            估,查明危機事件之成因,並提出改善與預防建議方案。
          G.蒐集資訊安全相關資訊及議題,培訓資訊安全預防及處理技
            術。
          H.安排各項對實施部門同仁之流程教育訓練或研習活動,以及
            相關規範及政令宣導事宜。
          I.彙總及分析流程實施資料,評估 ISMS 落實度及執行成效。
          J.召開專案推動會議。
          K.檢討流程實施相關議題及改善項目。
          L.協調及整合各單位主管與相關人員參與對流程的改善活動。
          M.規劃及參與驗證作業。
     (2)組長
          A.承資訊安全管理委員會之授權,規劃、建置、維運及持續改
            善 ISMS ,以取得並維持 ISO27001/CNS27001  之驗證有效
            性。
          B.研擬適用 ISMS 驗證範圍之資訊安全政策(資訊安全手冊)
            。
          C.督導執行小組執行 ISMS 相關工作。
          D.於資訊安全管理委員會會議中,向資訊安全管理委員會陳報
            ISMS  實施狀況。
     (3)ISMS  管理師
          A.統籌 ISMS 相關規劃、建置、維運及持續改善相關事宜。
          B.協助召集人處理 ISMS 相關事宜及初步審核。
          C.規劃各項推動活動,安排人員參與及執行各項流程推動活動
            。
          D.安排 ISMS 相關知識與執行技能之教育訓練活動,確保實施
            部門人員有能力執行 ISMS 相關工作。
          E.指導及審查 ISMS 制度執行狀況,確保同仁落實執行各項流
            程。
          F.規劃與執行 ISMS 制度實施成效之評估作業。
          G.檢討執行成效,並向召集人報告 ISMS 制度執行狀況。
          H.追蹤 ISMS 相關會議(如專案工作會議、管理審查會議等)
            之待辦及決議事項之執行情形。
          I.確保 ISMS 制度之改善活動的持續推動。
      3.資訊安全管理系統(ISMS)稽核小組
     (1)稽核小組
          A.觀察及分析 ISMS 流程執行缺失,及時提出改善需求。
          B.訂定稽核相關之作業程序。
          C.規劃內部稽核時程及查檢準則。
          D.執行內部稽核工作,以評估流程符合程度。
          E.追蹤及管理各項 ISMS 制度改善需求,確保其獲得實質改善
            。
          F.稽核人員所屬部門倘為驗證範圍管理部門時,該稽核人員也
            應接受其他部門稽核人員之稽核。
     (2)組長
          A.承資訊安全管理委員會之授權,規劃、執行 ISMS 稽核相關
            工作。
          B.督導稽核小組執行 ISMS 相關稽核工作,確認不符合事項之
            改善情形。
          C.於資訊安全管理委員會會議中,向資訊安全管理委員會陳報
            ISMS  稽核及改善結果狀況。
二、召開管理審查會議 
    資訊安全管理委員會每年應至少召開一次 ISMS 管理審查會議,以確
    保資訊安全管理系統的適用性和有效性,同時評估並持續改進資訊安
    全管理系統。
(一)會議時機及審查項目
      ISMS  執行小組及稽核小組組長對於 ISMS 的執行結果,應陳報資
      訊安全管理委員會。每年於內部稽核實施後,應召開一次管理審查
      會議,以確保 ISMS 的適用性、有效性,並進行檢討、評估,以改
      善本府 ISMS 相關措施。其管理審查項目至少應包含:
      1.ISMS  政策。
      2.風險評鑑報告。
      3.風險處理計畫。
      4.適用性聲明。
      5.資訊安全事件處理報告。
      6.內部稽核報告。
      7.資源需求。
      8.相關程序或活動執行紀錄。
(二)審查工作重點
      1.審查各項程序和控制措施的執行成效,其工作重點如下:
     (1)快速發現程序和控制措施的瑕疵。
     (2)快速有效的鑑別資安事件。
     (3)資安活動的實施成效是否符合期望。
     (4)反應業務優先順序的資安活動。
      2.評估資訊安全管理系統執行的有效性:
     (1)資安指標執行結果與資訊安全政策是否相符。
     (2)是否定期更新審查。
     (3)是否公告給所有相關人員。
     (4)是否確實執行預防與改善措施。
     (5)投入的資源是否足夠。
     (6)有關資訊安全稽核、資訊安全事故、控制措施有效性量測,以
          及來自所有利害相關者之建議與回饋事項。
(三)會議議程
      管理審查會議之議程應包含以下項目:
      1.上次會議結論辦理情形的追蹤。
      2.ISMS  稽核和審查結果討論。
      3.有效性量測的結果。
      4.先前的風險評鑑未適當鑑別之脆弱性或威脅。
      5.預防與改善措施執行狀況。
      6.利害相關團體的回饋(如主管機關的指示與要求、來自組織外部
        使用者的回饋意見等)。
      7.可用來增進 ISMS 的效率及有效性的技術、產品和程序。
      8.任何影響 ISMS 的改變。
      9.改善之各項建議。
(四)管理審查產出結果
      資訊安全管理委員會所作成的決議應做成會議紀錄,內容應包含下
      列項目:
      1.ISMS  有效性之改進。
      2.風險評鑑及風險處理計畫之更新。
      3.為因應 ISMS 內、外部事件之衝擊,對於原訂程序及控制措施作
        必要之修正與變更,包含如下:
     (1)各項營運要求。
     (2)各項安全要求。
     (3)業務需求。
     (4)安全需求。
     (5)影響既有業務需求的工作程序或方法。
     (6)法律與法規。
     (7)風險值和/或可接受風險。
      4.資源需求。
      5.控制措施有效性量測之改進。


陸、參考文件 
一、資訊安全手冊。 
二、風險評鑑與管理程序。 
三、監視與量測控制程序。 
四、資訊安全稽核程序。 
五、矯正及預防措施處理程序。


柒、使用表單 
    無。


捌、附件 
    附件一、資訊安全管理委員會組織架構圖如附件。