 |
|
|
|
|
|
|
|
|
:::
|
|
實施方式
|
|
依據BS7799 -2:2002指導規範之『規劃—執行—檢查—行動』模式,發展、維護及持續改善文件化的資訊安全管理系統。管理階層提供相關資源,以發展與管理資訊安全管理系統,包括下列步驟:
|
 |
|
建置資訊安全管理系統
|
(一) 定義實施範圍,詳見第五章適用範圍
(二) 定義資訊安全政策,並經資安指導委員會核准頒行。
(三) 定義系統化風險評鑑與管理辦法,詳見「資訊安全程序書」,I-ISMS2201-XX之2.1風險管理與「資訊資產風險評鑑辦法」,I-ISMS2302-XX。
(四) 執行風險評鑑與管理,包括鑑別風險、評鑑風險、鑑別與評估風險的因應措施以及選擇管控目標與管控點。
(五) 準備適用聲明書,內容包括BS 7799- 2:2002版之附錄A.3~A.12中,適用的管控點,適用及不適用之理由說明,詳見「資訊安全適用聲明書」,I-ISMS2103-XX。
|
|
|
|
資訊安全管理系統之實施與操作
|
|
根據前述執行風險評鑑而產生的風險處理計畫,實施相對應的安控措施與撰寫相關文件,最後經過資安指導委員會核准,並頒行與宣導資訊安全管理系統,且安排相關人員負責維運。對於執行資安工作的人員,需依其本身的能力與組織的期望,施予適當教育訓練;而對在此系統內的同仁,則提供適當的資安認知課程,以提昇整體資安的水準。資訊安全管理系統之文件體系與條款之對照,詳見「CNS17800條款與ISMS文件關係表」,I-ISMS2401-XX。
|
|
|
|
資訊安全管理系統之監控及審查
|
實施的安控機制,需要監控與審查,以確保資訊安全管理系統運行達到預期目標。監控與審查的安控機制包括定期執行風險評鑑、監督系統運行狀況、檢查合法軟體使用情形、檢查螢幕淨空與清桌作業、內部稽核、管理階層審查及不定期處理資安事件,詳見下列文件:
(一) 資訊安全程序書(I-ISMS2201-XX)之
1. 2.1 風險管理
2. 2.4 資安事件管理
3. 2.8 監督系統使用狀況
4. 2.11 智慧財產使用管理
5. 2.12 內部資訊安全稽核
6. 2.13 預防與改善
(二) 資訊資產風險評鑑辦法 I-ISMS2302-XX
(三) 資訊安全事件處理辦法 I-ISMS2304-XX
(四) 內部資訊安全稽核辦法 I-ISMS2306-XX
(五) 電腦化資訊系統管理制度 I-ISMS2311-XX
(六) 電腦資源管理 I-ISMS2312-XX
(七) 安全檢查及門禁管理辦法 I-ISMS2322-XX
(八) 人事管理規則 I-ISMS2331-XX
詳細章節見「CNS17800條款與ISMS文件關係表(I-ISMS2401-XX)」之4.2.3 ISMS之監控及審查。
|
|
|
|
維持及改進資訊安全管理系統
|
依前述監控及審查之安控機制所找到的待改進事項,採取適切的矯正與預防措施,以持續改進資訊安全管理系統。矯正與預防措施的機制分別列述於下列文件:
(一) 矯正措施
1. 資訊安全程序書(I-ISMS2201-XX)之
(1) 2.1 風險管理
(2) 2.4 資安事件管理
(3) 2.8 監督系統使用狀況
(4) 2.11 智慧財產使用管理
(5) 2.12 內部資訊安全稽核
2. 資訊資產風險評鑑辦法 I-ISMS2302-XX
3. 資訊安全事件處理辦法 I-ISMS2304-XX
4. 內部資訊安全稽核辦法 I-ISMS2306-XX
5. 電腦化資訊系統管理制度 I-ISMS2311-XX
6. 電腦資源管理 I-ISMS2312-XX
7. 安全檢查及門禁管理辦法 I-ISMS2322-XX
8. 人事管理規則 I-ISMS2331-XX
(二) 預防措施
1. 資訊安全程序書(I-ISMS2201-XX)
(1) 2.13 預防與改善
|
|
|
|
文件與紀錄管理
|
|
前述一~四步驟的結果,均要適切的儲存與維護,並確保相關人員均可取閱最新的版本以確實遵循規範,而此管理機制詳見資訊安全程序書(I-ISMS2201-XX)之2.2文件與紀錄管理及文件與紀錄管理辦法,I-ISMS2307-XX。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 更新日期:2008/11/18 | :::. |          | 問卷調查 | 志工人力招募 | 新手上路 | 相關連結 | 員工專區 | ◆ 隱私權宣告 / 資訊安全政策 ◆ 建議解析:1024 x 768 IE 5.5以上
◆ 地址:台北市北平西路三號 ◆本局24小時免費服務電話0800765888
Taiwan Railways Administration All Right Reserved. |
|
|