恪守资讯安全管理制度（ISMS） - 中州科技大学.DOCVIP

管理系統文件 文件類別 第 一 階 文 件 文件編號 ISMS-M-001 文件名稱 資訊安全管理政策 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 作為本校資訊安全管理制度（ISMS）相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織所訂定之持續改善P.D.C.A.循環流程管理模式，整合及強化資訊安全管理體系，建立制度化、文件化及系統化之管理機制，持續監督及審查管理績效，以落實資訊安全管理及業務持續營運之理念，並達到以下之標的： 落實資通安全管理政策。 全面導入資訊安全管理制度（ISMS）。 培訓資訊人力資通安全專業能力。 強化資通安全環境及資訊安全應變能力。 達成資訊安全管理政策量測指標。 確保本校所屬之資訊資產之機密性、完整性及可用性，並符合相關法令法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，以保障本校所屬職員或客戶之權益。 適用範圍 本校資訊安全管理制度（ISMS）所涵蓋範圍內皆適用之。 資訊安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校帶來各種可能之風險及危害。管理事項如下： 資訊安全管理政策制定及評估。 資訊安全組織之職責與分工。 人力資源安全。 資訊資產管理。 存取控制。 密碼控制。 實體與環境安全。 作業管理。 通訊管理。 資訊系統獲取、開發及維護。 供應商關係。 資訊安全事故管理。 營運持續管理之資訊安全層面。 遵循性。 資訊安全管理目標 本校執行資訊安全管理制度（ISMS）需達成之資訊安全目標，依據「ISMS-P-005資訊安全目標管理程序書」之相關規定辦理。 資安責任 本校的管理階層建立及審查此政策。 資訊安全管理者透過適當的標準和程序以實施此政策。 所有人員與合約供應商均須依照程序以維護資訊安全管理政策。 所有人員有責任報告安全事件和任何已鑑別出的弱點。 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。 資訊安全管理制度 一般要求 本校因應ISO 27001:2013資訊安全管理制度之要求，特制訂本政策作為整體資訊安全管理制度之建置開發、實施操作、監控審查及持續維持改進之規範，並依據本校業務活動與風險，以建立資訊安全管理政策及目標。 組織全景之鑑別 本校應決定與本校營運目的相關，且會影響資訊安全管理制度（ISMS）預期成果之內部與外部議題，鑑別出與本校所提供服務相關之利害關係者，以及這些利害關係者對本校的需求與期望，並讓資訊安全長知悉以取得共識，用以客觀決定本校資訊安全管理制度（ISMS）之範圍。 應制定組織全景鑑別管理作業程序，用以系統化地鑑別本校之核心業務與核心業務相關之利害關係者，以及這些利害關係者對本校核心業務之需求與期望，並判別若無法達到需求與期望會對本校造成何種程度之衝擊，並將上述評估及分析結果供資訊安全長用以決策ISMS之導入及驗證範圍。 資訊安全管理制度之建立與管理 建立資訊安全管理制度 過程簡要說明 本校係依照ISO 27001:2013標準之步驟建立資訊安全管理制度（ISMS），其過程簡要說明如下： 依據標準建議與主管機關之要求，成立本校資通安全管理委員會，並經核准頒布。 本校資訊安全管理制度（ISMS）以全校為範圍，不因選擇之驗證範圍而有所差異。 頒布「資訊安全管理政策」，以說明本校資訊安全政策、目標與執行方式。 進行風險評估作業，發掘資產與組織之安全弱點及其威脅與影響，並評估其風險等級，彙整成『風險評鑑報告』後，執行及追蹤『風險處理計畫』。 依據資訊安全管理政策與風險評估的結果，設定風險管理之實施範圍。 選擇適合實施之資訊安全管制目標與措施，並檢討確認其可行性與有效性。 將所選定之安全管制目標、管制措施、選用原因等資料記載於『適用性聲明』（Statement of applicability）文件中。 為貫徹資訊安全並持續改善，本校將依實際需求適時檢討上述步驟，並做必要之變更修正。 所有正式與外部團體契約員工及第三方派駐人員均須遵循本校資訊安全管理政策與資訊安全目標，恪守資訊安全管理制度（ISMS）各項作業流程、管理規範及相關法令法規之要求。故意或過失違反者，將視其違反情節及所造成之衝擊，依人事規章及法令法規予以懲處。 第三方承包廠商在執行本校委外業務時若有複委託之需求，應評估複委託業務相關之資安風險，並要求承包廠商依資訊安全管理制度（ISMS）等相關規定對複委託廠商進行適當之監督與管理。 對內部及外部專