資訊安全風險管理架構2020 / 12 / 01

Space

資通安全職責

     一、審核資訊安全管理系統目標及實施範圍。

     二、審核資訊安全管理相關作業執行情形及改善的有效性。

     三、檢討資訊安全相關政策及規定,協調資源之分配及使用。

     四、監督營運持續演練之辦理。

     五、審核實施矯正預防措施所需之資源,包括人力、時間及經費。

     六、審核矯正預防措施之有效性。

     七、每年至少召開管理審查會議1次,必要時得召開臨時會議。

作業機制

      一、為落實資訊安全管理系統之推動,資通安全處理小組人員應進行資訊安全管理相關程序之宣

            導與配合事項。

     二、為解決資訊安全各種問題,必要時應詢問資訊安全顧問,使資訊安全管理得到最高效率和最

            好效果。

     三、於資通安全事件發生時,為能迅速採取行動,資通安全處理小組應與執法機關、主管機關、

            資訊服務供應商、通訊廠商和資訊安全顧問取得適當聯絡,以保障本公司權益。

     四、辦理資訊業務委外作業時,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規

            定,並列入契約,要求廠商遵守並定期予以查核。

     五、所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。

     六、為確保本公司之矯正措施有效運作,應確實落實管理審查機制,至少每年舉行ㄧ次管理審查

            會議,並確實討論下列議題:

           (一)過往管理審查之議案的處理狀態。

           (二)與資訊安全管理系統有關之內部及外部議題的變更。

           (三)資訊安全績效之回饋,包括下列之趨勢。

                      1.不符合項目及矯正措施。

                      2.監督及量測結果。

                      3.稽核結果。

                      4.資訊安全目標之達成。   

           (四)關注方之回饋。

           (五)風險評鑑結果及風險處理計畫之狀態。

           (六)持續改善之機會。

    七、管理審查結果應作為紀錄,依內部文件與紀錄管制行政程序陳報與列管。紀錄內容應至少下

           列項目:

           (一)持續改善機會有關之決策。

           (二)資訊安全管理系統變更之需要。