iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 21
0

資通安全責任等級A~C級之公務機關應辦事項,管理面提到資訊安全管理系統之導入及通過公正第三方之驗證,其辦理內容為「初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001或ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。」


關鍵字餵估狗搜搜看

架空台北某間常逛的菜市場,加入「自行辦理資通業務,並委外開發及維運資通系統,該系統內含全國果菜市場資訊。」情境背景為例,動手搜搜看/images/emoticon/emoticon13.gif

臺北農產運銷股份有限公司經營管理第一及第二果菜批發市場依據資通安全管理法(以下簡稱本法)第16條第6項及第17條第4項訂定「台北市政府所管特定非公務機關資通安全管理作業辦法可到行政院國家資通安會報首頁>資安法專區>範本文件,下載範本」參照臺北農產運銷股份有限公司組織型態大餅圖,確認公股含行政院農業委員會及台北市政府共計持股45.5%。
大餅圖

行政院農業委員會(以下簡稱農委會)首頁>關於農委會>所屬機關網站,確認行政院農業委員會農糧署(以下簡稱農糧署)為農委會所屬機關,查閱農委會首頁>關於農委會>執掌與組織確認其業務範圍包含主管全國農、林、漁、牧及糧食行政事務;再查行政院農業委員會組織條例確認第4-1條「本會設農糧署、森林及自然保育署、水土保持局、農業金融局、試驗所、研究所及改良場,其組織以法律定之。」

以上,我們可以知道菜市場(生活好朋友)>農糧署(上級機關)>農委會(主管機關)。

緊接著,我們來找找看傳說中的"公正第三方驗證"。

我們先假裝台北第一菜市場是全國規模最大,功能最全面、最豪華、不怕找不到就怕扣扣帶不夠,一個買東西、吃東西的好去處。更多的就等您來發掘囉^^呃...工作一整天+加班到2小時前才下班,歪掉了也是合情合理的
一統全國菜市場的罷業有效管理菜市場,讓本國與外國人蔘們買的開心好自在,特別規劃辦理"在地市場限定美食不思議",資通系統所需要的作業系統和主機規劃後經公開評選參考最有利標精神,由知名的優良廠商得標。

台北第一菜市場除了買賣糧食,也積極發展美食週邊活動,興起一波時尚逛市場風潮。為了讓全國菜市場都有相同的服務水平,擬參考資安子法資安責任等級A~C級機關為標準,訂定維護計劃與應變程序,找SGS幫忙導入ISMS並完成公正第三方驗證,並持續維持其驗證有效性。

SGS本身已經是公正第三方驗證機構了,誰是SGS驗證單位呢? (簡單的說,驗證機構又是透過誰來驗證的呢)
財團法人全國認證基金會(以下簡稱國證會)經國證會認可後,會公佈在首頁>認可名錄>檢驗機構認可名錄

  • 認證編號:I0037
  • 機構名稱:台灣檢驗科技股份有限公司
  • 電話:(07)3012121-2012
  • 傳真:(07)3012068
  • 證書:

由此可知,公正第三方是由TAF來認定的,擁有公正第三方的資格再去幫菜市場進行驗證,著樣就是完成公正第三方驗證囉/images/emoticon/emoticon06.gif

好啦~廢宅就說書到著兒囉
腦汁燒乾的肥宅要躺平補眠了~晚安安/images/emoticon/emoticon29.gif


本法第16條

  1. 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
  2. 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通2. 系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
  3. 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
  4. 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
  5. 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
  6. 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。

本法第17條

  1. 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
  2. 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
  3. 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
  4. 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。

參考文章

資安與個資法規的合規展現與相關國際標準發展(轉載先進文章)


上一篇
Day20:打破沙鍋問到底5W1H
下一篇
Day22:資訊安全的迷思
系列文
打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)30

尚未有邦友留言

立即登入留言