组织全景评监管理程序书.docVIP

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-019 文件名稱 組織全景評鑑管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為了提供本校於推動資訊安全管理作業規範時，須全面廣泛地了解本校全景及利害關係者之需要與期望，以順利界定資訊安全之方針與資訊安全管理制度（ISMS）之實施範圍，特制定本程序書。 適用範圍 凡與鑑別本校全景及利害關係者之需要與期望的作業，均適用本程序。 參考文件 ISO/IEC 27001:2013。 ISO/IEC 31000。 ISMS-M-002適用性聲明書。 ISMS-P-005資訊安全目標管理程序書。 名詞定義 無。 作業內容 組織全景評鑑管理流程圖 作業流程 權責單位 相關表單 資通安全處理小組 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資通安全處理小組 組織全景評鑑表 資訊安全目標設定表 相關業務承辦人員 產生組織全景鑑別需求 依據ISO 27001:2013標準「4.組織全景」之條文要求，需進行組織全景評鑑作業，以決定與本校營運目標相關，且會影響本校達成資訊安全管理制度（ISMS）預定成果的外部與內部議題。 在鑑別組織全景時，資通安全處理小組須先取得最高管理階層對組織營運宗旨與目標之看法與共識。 鑑別願景及目標 鑑別組織全景時，資通安全處理小組應依資訊安全長簽署及正式對外公布之資料，以鑑別使命、核心價值（價值觀）、願景及營運目標，並記載於「ISMS-P-019-01組織全景評鑑表」中，以利下一階段組織全景鑑別作業。 鑑別核心業務 其次，資通安全處理小組應鑑別本校核心（關鍵）業務流程，並將核心業務流程及重要工作項目，記載於「ISMS-P-019-01組織全景評鑑表」中。 鑑別利害關係者 完成核心業務流程鑑別後，資通安全處理小組應鑑別與本校核心（關鍵）業務流程相關之內部及外部之利害關係者，並將相關利害關係者記載於「ISMS-P-019-01組織全景評鑑表」中。 鑑別需求與期望 鑑別與本校核心業務相關之利害關係者後，資通安全處理小組應綜整本校營運目標，以鑑別本校內部及外部利害關係者對本校各項業務之需要與期望，並記載於「ISMS-P-019-01組織全景評鑑表」中。 風險與衝擊分析 針對「ISMS-P-019-01組織全景評鑑表」中所鑑別出利害關係者的每一項需要與目標，無論其是否納入ISMS實施或驗證範圍，需進行分析當未符合利害關係者的需要與目標時，可能造成的衝擊情境，以及該威脅可能對組織造成之衝擊程度等級。 資通安全處理小組應依據「表1：組織全景風險鑑別等級表」之判定條件，判斷威脅衝擊之等級，並將判斷結果記載於「ISMS-P-019-01組織全景評鑑表」中。 表1：組織全景風險鑑別等級表 等級 威脅衝擊程度 1 未能達成需要與目標，對組織無傷害： 對組織業務營運無任何影響。 不會造成組織營收之負成長。 組織已將相關風險，納入ISMS實施與驗證範圍，進行處置與管理，並擬訂適當之控制措施。 不存在任何法令/法規/契約之要求，或違反相關之規定。 2 未能達成需要與目標，對組織產生輕微傷害： 對組織業務營運造成輕微之影響，威脅造成之衝擊可接受。 對組織營收造成可接受之小量負成長。 組織已將相關風險，利用契約或保險等措施進行轉嫁。 可能違反組織內部之行政規範或契約之要求。 3 未能達成需要與目標，對組織產生中度傷害： 對組織業務營運造成一定之影響，威脅對組織之衝擊產生一定之損害。 對組織營收造成一定程度之負成長，無法接受。 組織已與相關需要與目標之需求單位進行溝通，並獲得其書面同意接受該風險。 可能違反法令/法規之要求。 4 未能達成需要與目標，對組織產生嚴重傷害： 對組織業務營運造成嚴重之影響，威脅對組織之衝擊產生重大之損害。 對組織營收造成難以承擔之負成長，可能導致大量虧損。 組織對於相關風險，已陳報最高管理