本中心依據國家資通安全相關法令規章之要求,為提高單位層級,於111年8月22日 發行並導入資訊安全管理制度(ISMS)及112年1月1日導入個人資料保護管理制度(PIMS),建立文件化資訊及持續改善,以符合法令要求及增進本中心資安管理作業。後續陸續完成事項如下:
-
資通系統及資訊之盤點、中心維運之系統分類分級,檢視機關指定系統防護基準執行情形適切性(並依機關指定時程回復檢視意見),建立或修訂資訊系統分類分級及防護基準文件,提供資通系統資安防護基準相關諮詢,並依規定內容產出相關文件。
-
依資通安全管理法施行細則第6條第1項第7款及第8款規定,落實本中心資通安全風險評估、資通安全防護及控制措施。
-
完成資通安全管理法及個人資料保護法之相關管理機制與規範程序,產製「適法性查核表」。
- 執行內部稽核作業並完成內部稽核計畫報告,並針對建議事項進行矯正措施。
- 召開ISMS資通安全管理審查會議,每年度持續執行之資安工作(如下所列),以先期發覺資安問題,預採措施。
- 網路監控異常、資安事件納入矯正預防管控。
- 每年實施內部稽核及依「辦公區域及個人電腦安全檢查表」實施自我檢測。
- 每年實施風險評鑑作業。
- 每年業務持續性演練作業。
- 每年持續進行安全性檢測作業。
- 法令法規更新及要求。
此外,本中心亦有3位專員擁有ISO 27001 ISMS Lead Auditor(主導稽核員)證照,中心主任及2位專員擁有ISO 27701 PIMS Lead Auditor(主導稽核員)證照並落實專員參與資通安全教育訓練(資安專責人員每年12小時、一般人員及主管每年3小時),中心於111年11月進行ISO27001 外部稽核驗證,並於112年4月12日正式取得ISO 27001外部驗證證書。本中心持續於112年11月通過ISO27001 外部稽核驗證續評及ISO27701 外部稽核驗證,並於113年1月10日正式取得ISO 27701外部驗證證書。
本中心資訊安全及個人資料保護管理系統建置、導入與驗證之程序圖
.png)
往後每年定期查驗。其程序如下:
- 分析本中心內、外部需求,進行險風險評鑑與資產盤點,依據最新資安政策,更新本中心資安制度流程與所有四階文件。
- 依據制訂/修訂之資安行為規範及準則,落實資安標準作為,檢視執行過程中是否符合要求,並建立文件化資訊(規範、標準及證據)。
- 制度及標準建立之後,經過一段時間的運作及備妥文件化資訊,確定所有流程均已依照前述分析及規範執行,便可啟動內部稽核程序。
- 資安系統運作熟練,並完整保存文件及證據、完成內部稽核後,即可委託驗證機構進行外部稽核審查年度複評及續評機制。
- 資訊安全管理系統是一持續改善的運作機制,除了檢視運作是否落實外,隨著時間推演與新威脅及風險發生的可能,須持續加以調整改善。
