一、核心業務及其重要性。
二、資通安全政策及目標。
三、資通安全推動組織。
四、專責人力及經費之配置。
五、公務機關資通安全長之配置。
六、資訊及資通系統之盤點,並標示核心資通系統及相關資產。
七、資通安全風險評估。
八、資通安全防護及控制措施。
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。
十一、資通系統或服務委外辦理之管理措施。
十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。
十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
| No. | 資安維護計畫項目 | ISO27001國際標準 |
|---|---|---|
| 1 | 核心業務及其重要性 | 4組織全景 |
| 2 | 資通安全政策及目標 | 5.2A.5資訊安全政策、6.2資訊安全目標 |
| 3 | 資通安全推動組織 | 5.3組織角色與責任及權限、A.6.1.1資訊安全之角色及責任 |
| 5 | 公務機關資通安全長之配置 | 5.3組織角色與責任及權限、A.6.1.1資訊安全之角色及責任 |
| 4 | 專責人力及經費之配置 | A.6.1.2職務區隔、7.1資源 |
| 6 | 資訊及資通系統之盤點,並標示核心資通系統及相關資產 | A.8資產管理、A.17營運持續管理之資訊安全層面 |
| 7 | 資通安全風險評估 | 6.1因應風險與機會之行動、6.1.2資訊安全風險評鑑、6.1.3資訊安全風險處理 |
| 8 | 資通安全防護及控制措施 | 8實作、A.5~A.18資安控制措施 |
| 9 | 資通安全事件通報、應變及演練相關機制 | A.16資訊安全事件及事故管理、A.6.1.3與權責機關之聯繫 |
| 10 | 資通安全情資之評估及因應機制 | |
| 11 | 資通系統或服務委外辦理之管理措施 | A.7.1人員及廠商聘用、A.7.3人員及廠商聘用責任之終止或變更、A.15供應商資安管理 |
| 12 | 公務機關所屬人員辦理業務涉及資通安全事項之考核機制 | A.7.2.3正式懲處流程 |
| 13 | 資通安全維護計畫及實施情形之持續精進及績效管理機制 | 9資安管理績效、10矯正行動與持續改善 |
No.|文件簡稱|公務機關|非公務機關|所屬特定非公務機關|補充資料
---|---|---|---
1|維護計劃|資通安全維護計畫範本|資通安全維護計畫範本|無|資通安全維護計畫範本參考附件
2|應變程序|公務機關資通安全事件通報應變程序範本|特定非公務機關資通安全事件通報應變程序範本|無|資通安全事件通報應變程序範本參考附件
3|作業辦法|無|無|所屬特定非公務機關資通安全管理作業辦法範本|無
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
iThome鐵人賽
看影片追技術