您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
:::

本中心依據國家資通安全相關法令規章之要求,為提高單位層級,於111822日 發行並導入資訊安全管理制度(ISMS)及112年1月1日導入個人資料保護管理制度(PIMS)建立文件化資訊及持續改善,以符合法令要求及增進本中心資安管理作業。後續陸續完成事項如下:

  1. 資通系統及資訊之盤點、中心維運之系統分類分級,檢視機關指定系統防護基準執行情形適切性(並依機關指定時程回復檢視意見),建立或修訂資訊系統分類分級及防護基準文件,提供資通系統資安防護基準相關諮詢,並依規定內容產出相關文件。

  2. 依資通安全管理法施行細則第6條第1項第7款及第8款規定,落實本中心資通安全風險評估、資通安全防護及控制措施。

  3. 完成資通安全管理法及個人資料保護法之相關管理機制與規範程序,產製「適法性查核表」。

  4. 執行內部稽核作業並完成內部稽核計畫報告,並針對建議事項進行矯正措施。
  5. 召開ISMS資通安全管理審查會議,每年度持續執行之資安工作(如下所列),以先期發覺資安問題,預採措施。
  • 網路監控異常、資安事件納入矯正預防管控。
  • 每年實施內部稽核及依「辦公區域及個人電腦安全檢查表」實施自我檢測。
  • 每年實施風險評鑑作業。
  • 每年業務持續性演練作業。
  • 每年持續進行安全性檢測作業。
  • 法令法規更新及要求。

​​​​​​此外,本中心亦有3位專員擁有ISO 27001 ISMS Lead Auditor(主導稽核員)證照,中心主任及2位專員擁有ISO 27701 PIMS Lead Auditor(主導稽核員)證照並落實專員參與資通安全教育訓練(資安專責人員每年12小時、一般人員及主管每年3小時),中心於11111月進行ISO27001 外部稽核驗證,並於112年4月12日正式取得ISO 27001外部驗證證書。本中心持續於112年11月通過ISO27001 外部稽核驗證續評及ISO27701 外部稽核驗證,並於113年1月10日正式取得ISO 27701外部驗證證書

本中心資訊安全及個人資料保護管理系統建置、導入與驗證之程序圖

往後每年定期查驗。其程序如下:

  • 分析本中心內、外部需求,進行險風險評鑑與資產盤點,依據最新資安政策,更新本中心資安制度流程與所有四階文件。
  • 依據制訂/修訂之資安行為規範及準則,落實資安標準作為,檢視執行過程中是否符合要求,並建立文件化資訊(規範、標準及證據)。
  • 制度及標準建立之後,經過一段時間的運作及備妥文件化資訊,確定所有流程均已依照前述分析及規範執行,便可啟動內部稽核程序。
  • 資安系統運作熟練,並完整保存文件及證據、完成內部稽核後,即可委託驗證機構進行外部稽核審查年度複評及續評機制。
  • 資訊安全管理系統是一持續改善的運作機制,除了檢視運作是否落實外,隨著時間推演與新威脅及風險發生的可能,須持續加以調整改善。