返回
i-i-01-000-g_资讯安全管理手册

i-i-01-000-g_资讯安全管理手册

ID:14415441

大小:115.00 KB

页数:19页

时间:2018-07-28

i-i-01-000-g_资讯安全管理手册_第1页
i-i-01-000-g_资讯安全管理手册_第2页
i-i-01-000-g_资讯安全管理手册_第3页
i-i-01-000-g_资讯安全管理手册_第4页
i-i-01-000-g_资讯安全管理手册_第5页
资源描述:

《i-i-01-000-g_资讯安全管理手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、国立阳明大学信息安全管理手册出版者:国立阳明大学-信息与通讯中心文件编号:I-I-01-000-G-02版本编号:2.0机密等级:一般使用本文件前,如对版本有疑问,请与编撰者确认最新版次。本文件历次变更纪录:版次发行日编撰者说明核准者1.02009/02/03雷咏棻初版发行许万枝2.02012/05/02周韵华修改二、三阶文件名称以符合现况许万枝本程序由系统发展组负责维护。目录壹、目的4贰、简介5参、建立信息安全组织6肆、建立信息安全政策7伍、建立文件标准8陆、建立适用性声明8柒、信息安全管理系统之建置9捌、名词定义17壹、目的国立阳明大学(以下简称本校)依据「行政院及所属各机关信息安全管

2、理要点」、「行政院及所属各机关信息安全管理规范」、教育网络中心导入教育体系信息安全管理制度、政府机关(构)信息安全责任等级分级作业施行计划及CNS27001:2006国家标准等信息安全规定,并参酌信息安全国际标准ISO/IEC27001:2005,订定符合本校信息安全管理目标之信息安全管理系统,规划与建置信息安全整体架构,确保本校信息资产之机密性、完整性及可用性,以改善本校现有管理制度。同时沿用国际标准化组织所订定之持续改善PDCA循环流程管理模式,整合及强化信息安全管理体系,建立制度化、文件化及系统化之管理机制,持续监督及审查管理绩效,以落实信息安全管理及业务持续营运之理念,并达到以下之

3、目标:一、落实教育体系资通安全管理政策;二、全面导入资通安全管理制度;三、培训教育体系信息人力资通安全专业能力;四、强化校园资通安全环境及信息安全应变能力;五、达成信息安全政策量测指针。壹、简介信息安全管理系统(InformationSecurityManagementSystem,ISMS)着眼于管理本校重要的信息资产,以『规划-执行-检查-行动』模式来建置与维护,确保此制度有效运作,所有活动均要有适当的文件记载或纪录说明之,包括:一、定义信息安全政策二、说明信息安全管理系统的范围三、评鉴风险四、订定控管目标与机制五、实施风险处理计划六、撰写适用性声明书七、实施与操作八、监控、定期审查及

4、稽核九、实行矫正与预防措施建立信息安全组织成立信息安全组织并赋予权责,以建置与推动信息安全管理系统,并执行以下主要的工作项目:一、由管理阶层举办定期之管理审查会议,召集相关单位代表进行工作与责任的分属,确保信息安全相关计划的进行,并展现管理阶层的支持。二、管理阶层清楚地订定信息安全策略与方向、制订信息安全政策、分派信息安全职责与分配适切经费,以执行相关制订信息安全政策控管措施,藉以表达对信息安全的承诺。三、指派相关代表负责单位间之信息安全协调工作、联系外部相关执法机关或主管机关及信息安全技术方面的联络窗口。四、为确保信息安全作业的顺利运行,需与校内所有单位主管、主管机构、执法机关、信息服务

5、厂商、电信公司、及/或其他利益相关个人或团体建立适当的沟通管道。五、研拟保密协议且定期审查其适用性。六、信息安全管理系统之实施,须定期或遇重大变更执行审查,以确保实施之成效。七、评估与本校往来的单位与人员之潜在信息安全风险,以施予适切的安控措施,并载明于双方之合约。详见「信息安全组织及管理审查管理程序」之说明。壹、建立信息安全政策订定信息安全政策做为信息安全管理系统的指导方针。信息安全政策应参考信息安全相关法令及施行单位业务上的需求,经由管理阶层核准、颁行,并透过适当管道,倡导给全体同仁;且定期或遇重大改变执行审查,以确保其适当性与有效性。在必要时应告知相关单位及合作厂商,以利共同遵守。面

6、对信息安全事件的发生、资安相关法令或其他影响因素的改变时,信息安全政策应进行实时评估,并定期审查政策的可行性与有效性。详见「信息安全政策及营运目标管理程序」。建立文件标准提供本校信息安全管理系统相关管理制度文件及纪录之标准规范,以确保文件格式统一、版本正确更新、及使用之效率,并建立相关管理制度文件、记录、电子文件及相关储存媒体之新增、修改、编码、发行等管理原则,以确保相关人员均可取阅最新的版本及确实遵循。详见「管理制度文件标准规范」。壹、建立适用性声明为确认信息安全管理系统的施行符合相关法令、安全政策与最近技术趋势,故订定符合性确认原则:一、鉴别适用的法令及规章,以确保法规与密码学要求的符

7、合性。二、订定使用智能财产之相关规范。三、保障个人信息与隐私权。四、搜集并保护本校之信息纪录。五、定期审查安全政策与技术之符合性。六、准备适用声明书,内容包括相关法令之要求,以及国际标准ISO/IEC27001:2005适用的管控措施,并说明适用及不适用之理由。详见「适用性声明」。壹、信息安全管理系统之建置根据前述各项,讨论应实施相对应的安控措施与撰写相关文件,经许可证管理者核准,颁布实施与倡导信息安全管理系统,且安排适

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。