资讯安全组织与权责管理程序书中州科技大学.doc

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-002 文件名稱 資訊安全組織與權責管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為促使本校有效推動與管理本校資訊安全管理制度(ISMS)，以確保資訊安全管理制度(ISMS)能持續有效地執行，維護員工及客戶權益，以提升本校服務水準並且達成既定的資訊安全目標，特制訂本程序書。 適用範圍 凡本校與資訊安全組織架構及相關之權責的管理，均適用本程序書。 參考文件 ISMS-P-001文件與紀錄管理程序書。 名詞定義 無。 作業內容 組織與權責管理流程圖 作業流程 權責單位 相關表單 資通安全處理小組 資訊安全組織架構圖 相關單位主管 資訊安全長 資通安全處理小組 相關單位 會議紀錄單 外部單位聯絡清單 資通安全管理委員會人員名冊 資通安全處理小組 資通安全處理小組 組織與權責訂修廢 資訊安全組織架構圖及權責 在「資訊安全組織架構圖」中，各項職位之權責，由「資通安全處理小組」負責其訂修廢內容之維護。 各管理程序書之權責 各管理程序書之權責，依照「ISMS-P-001文件與紀錄管理程序書」之規定，由各項業務之主要承辦人員負責其訂修廢內容之維護。 相關小組審議 「資通安全處理小組」對「資訊安全組織架構圖」、各項職位之權責或各管理程序書之權責於訂修廢時，若需相關單位參與討論與審議時，則由「資通安全處理小組」視需要邀集其他相關單位主管進行會議討論。 「資通安全處理小組」遇有權責之爭議無法協調，或牽涉到資訊安全組織需進行大變動時，應提交「資通安全管理委員會」決議。 組織與權責核准 「資訊安全組織架構圖」、各項職位之權責或各管理程序書之權責之訂修廢內容，應由「資通安全處理小組」之業務承辦人員負責擬案，並依下列規定送呈審核，再依核示意見辦理。 權 責 類 別 訂、修、廢 審查 核准 資訊安全組織架構圖 資通安全處理小組 執行秘書 資訊安全長 各項職位之權責 資通安全處理小組 執行秘書 資訊安全長 各管理程序書之權責 依照「文件與紀錄管理程序書」之規定 公告或通知 經核准修正後之「資訊安全組織架構圖」應由「資通安全處理小組」負責以適當方式進行公告。 經核准修正後之各項職位之權責、各管理程序書之權責，應由文件管制人員依據「ISMS-P-001文件與紀錄管理程序書」之規定，分發通知相關單位。 組織與權責運作 「資通安全處理小組」成員在承辦各項業務時，應依照各項職位之權責或各管理程序書之權責規定執行。 適用性檢討 「資通安全處理小組」成員在承辦各項業務時，可隨時進行組織與權責適用性之檢討，若有訂修廢之需求時，依照上述之訂修廢規定辦理。 資管理組織 本設立」，明確規範資安管理作業之人員權限與責任，協調事務及推動資安管理事宜，確保資各項管理規範能有效持續地執行，並達成資之政策與目標。本管理組織結構如下。 組織編組 資訊安全長：由。執行秘書：由。 委 員：由各單位主管擔任。：由。列席人員：視需要指定相關單位人員列席。 階管理小組 由、、各管及顧問團隊所組成。工作職掌 資安管理最高決策組織。 核准發行及維護資管理政策。決定及提供建立、實施、運作及維持管理制度所需之資源。承諾遵守與資相關之法令法規。 建立良好遵循實務，落實執行本資管理制度之政策。 工作職掌 工作職掌 工作職掌 由召集業務相關人員若干名組成，成員詳見「」。工作職掌 建立與維護業務持續營運計畫。 各項資訊安全管理文件與記錄之建立與管制。 擬定資訊安全教育訓練計畫及辦理各項資訊安全相關的教育訓練活動。 制定風險管理制度，執行風險管理作業。 持續不斷的評估與檢討風險管理之具體成效。 建立資訊安全事件緊急應變暨復原措施。 監控、記錄與調查資訊安全事件。 受理資訊安全事件回報與事件處理。 執行「資通安全管理委員會」所決議之事項。 執行稽核改善建議事項，並追蹤缺失事項之執行情形。 執行矯正與預防措施之改善。 文件管制小組 由召集業務相關人員若干名組成，成員詳見「」。工作職掌 由召集業務相關人員若干名組成，成員詳見「」。工作職掌 管理審查會議召開 每年至少召開管理審查會議一次，」，以確保資訊安全管理制度(ISMS)的適用性和有效性，同時評估改進資訊安全管理制度(ISMS)。 」會議記錄陳核 「」公告 由欲溝通事項之負責人員，將欲溝通之內容經同意後，交權責人員E-mail方式傳達給相關同仁。內部由業務承辦人員將欲溝通事項研擬於「內部」上，經