I-I-01-000-G_资讯安全管理手册.doc

国立阳明大学 信息安全管理手册 出 版 者：国立阳明大学-信息与通讯中心 文件编号：I-I-01-000-G-02 版本编号：2.0 机密等级：一般 使用本文件前, 如对版本有疑问, 请与编撰者确认必威体育精装版版次。 本文件历次变更纪录： 版次 发行日 编撰者 说 明 核准者 1.0 2009/02/03 雷咏棻 初版发行 许万枝 2.0 2012/05/02 周韵华 修改二、三阶文件名称以符合现况 许万枝 本程序由系统发展组负责维护。 目录 壹、 目的 4 贰、 简介 5 参、 建立信息安全组织 6 肆、 建立信息安全政策 7 伍、 建立文件标准 8 陆、 建立适用性声明 8 柒、 信息安全管理系统之建置 9 捌、 名词定义 17 目的 国立阳明大学（以下简称本校）依据「行政院及所属各机关信息安全管理要点」、「行政院及所属各机关信息安全管理规范」、教育网络中心导入教育体系信息安全管理制度、政府机关（构）信息安全责任等级分级作业施行计划及CNS27001：2006国家标准等信息安全规定，并参酌信息安全国际标准ISO/IEC27001：2005，订定符合本校信息安全管理目标之信息安全管理系统，规划与建置信息安全整体架构，确保本校信息资产之机密性、完整性及可用性，以改善本校现有管理制度。 同时沿用国际标准化组织所订定之持续改善PDCA循环流程管理模式，整合及强化信息安全管理体系，建立制度化、文件化及系统化之管理机制，持续监督及审查管理绩效，以落实信息安全管理及业务持续营运之理念，并达到以下之目标： 落实教育体系资通安全管理政策； 全面导入资通安全管理制度； 培训教育体系信息人力资通安全专业能力； 强化校园资通安全环境及信息安全应变能力； 达成信息安全政策量测指针。 简介 信息安全管理系统 (Information Security Management System，ISMS) 着眼于管理本校重要的信息资产，以『规划-执行-检查-行动』模式来建置与维护，确保此制度有效运作，所有活动均要有适当的文件记载或纪录说明之，包括： 定义信息安全政策 说明信息安全管理系统的范围 评鉴风险 订定控管目标与机制 实施风险处理计划 撰写适用性声明书 实施与操作 监控、定期审查及稽核 实行矫正与预防措施 建立信息安全组织 成立信息安全组织并赋予权责，以建置与推动信息安全管理系统，并执行以下主要的工作项目： 由管理阶层举办定期之管理审查会议，召集相关单位代表进行工作与责任的分属，确保信息安全相关计划的进行，并展现管理阶层的支持。 管理阶层清楚地订定信息安全策略与方向、制订信息安全政策、分派信息安全职责与分配适切经费，以执行相关制订信息安全政策控管措施，藉以表达对信息安全的承诺。 指派相关代表负责单位间之信息安全协调工作、联系外部相关执法机关或主管机关及信息安全技术方面的联络窗口。 为确保信息安全作业的顺利运行，需与校内所有单位主管、主管机构、执法机关、信息服务厂商、电信公司、及/或其他利益相关个人或团体建立适当的沟通管道。 研拟必威体育官网网址协议且定期审查其适用性。 信息安全管理系统之实施，须定期或遇重大变更执行审查，以确保实施之成效。 评估与本校往来的单位与人员之潜在信息安全风险，以施予适切的安控措施，并载明于双方之合约。 详见「信息安全组织及管理审查管理程序」之说明 。 建立信息安全政策 订定信息安全政策做为信息安全管理系统的指导方针。信息安全政策应参考信息安全相关法令及施行单位业务上的需求，经由管理阶层核准、颁行，并透过适当管道，倡导给全体同仁；且定期或遇重大改变执行审查，以确保其适当性与有效性。在必要时应告知相关单位及合作厂商，以利共同遵守。 面对信息安全事件的发生、资安相关法令或其他影响因素的改变时，信息安全政策应进行实时评估，并定期审查政策的可行性与有效性。 详见「信息安全政策及营运目标管理程序」。 建立文件标准 提供本校信息安全管理系统相关管理制度文件及纪录之标准规范，以确保文件格式统一、版本正确更新、及使用之效率，并建立相关管理制度文件、记录、电子文件及相关储存媒体之新增、修改、编码、发行等管理原则，以确保相关人员均可取阅必威体育精装版的版本及确实遵循。 详见「管理制度文件标准规范」。 建立适用性声明 为确认信息安全管理系统的施行符合相关法令、安全政策与最近技术趋势，故订定符合性确认原则： 鉴别适用的法令及规章，以确保法规与密码学要求的符合性。 订定使用智能财产之相关规范。 保障个人信息与隐私权。 搜集并保护本校之信息纪录。 定期审查安全政策与技术之符合性。 准备适用声明书，内容包括相关法令之要求，以及国际标准IS