資通安全組織架構與工作執掌
一、資通安全組織架構與工作執掌
- 資通安全委員會:由本校校長擔任召集人,各單位一級主管及各科主任為委員會委員,負責資通安全管理制度相關事項之決議。
- 每年定期或視需要召開會議,審查資通安全管理相關事宜。
- 視需要召開跨單位之資源協調會議,負責協調資通安全管理制度執行所需之相關資源分配。
- 資通安全執行秘書:由資通安全委員會召集人指派專人擔任。
- 負責協調資通安全小組與緊急處理組執行資通安全相關作業。
- 負責對資通安全狀況進行預警、監控,並對資通安全狀況與事件進行處置。
- 對於資通安全管理之改善提出建議,以及協助執行資通安全之自我檢核。
- 對於存取控制管理定期進行事件紀錄檢核,以及管理程序檢核。
- 資通安全小組:由資通安全委員會召集人指派人員組成,負責規劃及執行各項資通安全作業。
- 制定資通安全管理相關規範。
- 推動資通安全相關活動。
- 辦理資通安全相關教育訓練。
- 建立風險管理制度,執行風險管理。
- 建立安全事件緊急應變暨復原措施。
- 執行稽核改善建議事項。
- 執行預防措施之改善。
- 研討新資通安全產品或技術。
- 執行資通安全委員會決議事項。
- 鑑別資通安全相關之法規。
- 資通安全小組應針對本校所提供之資訊服務,識別資通安全相關法令、法規及相關要求,明確定義至「外來文件一覽表」中,並定期檢討與更新。
- 緊急處理小組:緊急處理組為任務編組,由資通安全委員會召集人指派人員組成。成員相關權責及作業內容分述如下:
- 緊急處理組組長:
- 當重大資安事件發生時,負責聯絡及召集緊急處理組。
- 協調及督導各關鍵業務流程負責人執行作業,並協調資源之調派使用。
- 依據事件評估之結果,得依現況建請資通安全委員會召集人決議是否宣布災變並啟動業務永續運作計畫。
- 當災變發生時,配合救災單位負責搶救人員、物資與設備等,以及現場指揮工作。
- 負責災後協調、指揮清理災害現場。
- 負責規劃原營運場所之現場復原工作。
- 各關鍵業務流程負責人員:
- 負責召集相關人員,發展、維護、更新修訂及執行各災害復原程序。
- 每年負責召集相關人員進行業務永續運作計畫之測試演練。
- 負責原營運場所或異地備援場所之應變、處理、復原及運轉測試工作。
- 負責災害現場證據收集,俾利未來訴訟與損害求償事宜。
- 災害現場評估損害狀況及執行原營運場所之現場復原工作。
- 緊急處理組組長:
- 資通安全稽核小組:由資通安全委員會召集人指派,負責評估資通安全管理制度之執行情形。
- 擬定資通安全內部稽核計畫。
- 執行資通安全內部稽核。
- 撰寫資通安全內部稽核報告。
- 追蹤不符合事項之改善執行情形。
二、管理審查會議
- 資通安全委員會應每年至少召開一次管理審查會議,必要時得召開臨時會議。
- 管理審查會議審查內容建議如下:
- 資通安全稽核結果及建議改善事項。
- 上級指導單位、內部同仁及外部單位等利害相關團體的建議。
- 新資通安全產品或技術導入之審查。
- 矯正及預防措施檢討。
- 風險評鑑適切性審查。
- 前次管理審查會議決議執行狀況。
- 影響資通安全制度之任何變更事項。
- 資通安全組織成員所提出之改善建議。
- 資通安全目標執行狀況報告。
- 本校依據「資通安全政策」所列之範圍及目標制定「ISMS有效性量測表」,並以該量測結果做為評估本校資通安全目標達成情形。
- 管理審查會議之結論建議如下:
- 資通安全制度執行之各項改進措施。
- 更新風險評鑑與風險改善計畫。
- 針對可能影響資通安全制度之內、外部事件,修正資通安全管理流程與控制措施,包括:
- 營運需求的變更。
- 安全需求的變更。
- 影響現行營運需求的業務程序變更。
- 管理或法規需求的變更。
- 契約要求的變更。
- 可接受風險等級或標準的變更。
- 針對資通安全制度之需要,協調所需之資源。
- 控制措施有效性評量方式的改善。
- 應每年檢視「ISMS有效性量測表」之量測結果與執行情形,並檢討量測項目與目標水準是否需進行調整之必要,做成改善決議。
- 管理審查紀錄:管理審查會議為資通安全管理制度重要之活動,「資通安全管理審查會議紀錄」應依「文件管理程序書」辦理。
三、權責機關、特殊利害相關團體的聯繫
- 為確保資訊安全、個人資料保護事件發生時,儘速執行事件處理,須與權責或外部單位隨時保持聯繫,例如:主管機關、資通安全會報、消防單位等;並建立與管理制度相關之「外部單位聯絡清單」。
- 應隨時與資訊安全、個人資料保護技術相關團體維持聯繫,獲取相關之技術及產品資訊與知識,以及處理相關事件或執行系統修補資訊等,亦將資訊建立於「外部單位聯絡清單」。
- 「外部單位聯絡清單」由各單位自行建立與保管,或以任何可行之方式保存之。
- 須建立與資通安全管理制度相關之「外部單位聯絡清單」,並由資通安全小組負責維護及更新。
四、法規遵循性
- 識別適用之法令、法規
「資通安全小組」應定期識別管理制度適用之法令、 法規,並彙整或修訂於「外來文件一覽表」。 - 智慧財產權
員工應遵守智慧財產權等相關法令,並依據本校軟體管理相關 規定辦理。為確保員工均遵守智慧財產權,於稽核時,將一併 查核軟體使用情形。 - 個人資訊的資料保護與隱私
員工應遵守個人資料保護法、行政院所屬各機關資訊安全管理 要點及相關規定。 - 組織紀錄的保護
紀錄依紀錄型式進行分類(例如:變更紀錄、資料庫紀錄、錯誤 日誌、稽核日誌和運作程序),訂定保存期間和儲存媒體型式(例 如:紙張、磁片、磁帶、硬碟或光碟片等儲存媒體)。並應依據 資訊等級進行適當地處置與保護。