本中心依据国家资通安全相关法令规章之要求,为提高单位层级,于111年8月22日 发行并导入信息安全管理制度(ISMS)及112年1月1日导入个人资料保护管理制度(PIMS),建立文件化信息及持續改善,以符合法令要求及增进本中心资安管理作业。後續陆續完成事项如下:
-
资通系统及信息之盘点、中心维運之系统分类分级,检视机关指定系统防护基准执行情形适切性(并依机关指定时程回复检视意见),建立或修订信息系统分类分级及防护基准文件,提供资通系统资安防护基准相关谘询,并依规定内容产出相关文件。
-
依资通安全管理法施行細則第6条第1项第7款及第8款规定,落实本中心资通安全风险評估、资通安全防护及控制措施。
-
完成资通安全管理法及个人资料保护法之相关管理机制與规范程序,产制「适法性查核表」。
- 执行内部稽核作业并完成内部稽核计畫报告,并针对建议事项进行矫正措施。
- 召开ISMS资通安全管理审查会议,每年度持續执行之资安工作(如下所列),以先期发觉资安问题,预采措施。
- 网络监控异常、资安事件纳入矫正预防管控。
- 每年实施内部稽核及依「办公区域及个人计算机安全检查表」实施自我检测。
- 每年实施风险評鑑作业。
- 每年业务持續性演练作业。
- 每年持續进行安全性检测作业。
- 法令法规更新及要求。
此外,本中心亦有3位专员拥有ISO 27001 ISMS Lead Auditor(主导稽核员)证照,中心主任及2位专员拥有ISO 27701 PIMS Lead Auditor(主导稽核员)证照并落实专员参與资通安全教育训练(资安专责人员每年12小时、一般人员及主管每年3小时),中心于111年11月进行ISO27001 外部稽核验证,并于112年4月12日正式取得ISO 27001外部验证证書。本中心持續于112年11月通过ISO27001 外部稽核验证續評及ISO27701 外部稽核验证,并于113年1月10日正式取得ISO 27701外部验证证書。
本中心信息安全及个人资料保护管理系统建置、导入與验证之程序图
.png)
往後每年定期查验。其程序如下:
- 分析本中心内、外部需求,进行险风险評鑑與资产盘点,依据最新资安政策,更新本中心资安制度流程與所有四阶文件。
- 依据制订/修订之资安行为规范及准則,落实资安标准作为,检视执行过程中是否符合要求,并建立文件化信息(规范、标准及证据)。
- 制度及标准建立之後,经过一段时间的運作及备妥文件化信息,确定所有流程均已依照前述分析及规范执行,便可启动内部稽核程序。
- 资安系统運作熟练,并完整保存文件及证据、完成内部稽核後,即可委讬验证机构进行外部稽核审查年度复評及續評机制。
- 信息安全管理系统是一持續改善的運作机制,除了检视運作是否落实外,随着时间推演與新威胁及风险发生的可能,须持續加以調整改善。
