|
1.目的
公文G2B2C資訊服務中心(以下簡稱G2B2C中心)為推動強化資訊安全管理,建立安全及可信賴之公文電子交換作業環境,確保G2B2C中心資料、系統、設備及網路等資訊資產之安全,保障民眾權益,特依據「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」及「電腦處理個人資料保護法」等相關法令及法規,並考量相關業務需求,據以訂定本資訊安全政策,使其成為G2B2C中心推動資訊安全管理及實施各項資訊安全措施之準則。透過本資訊安全政策之制定,明確宣示G2B2C中心支持資訊安全之決心,期使相關人員有所依循,並能適切合乎法令、法規及G2B2C中心對於資訊安全之要求,以降低資訊安全事件所可能帶來之衝擊。
依據G2B2C中心核心業務之特性及願景,確保公文電子交換系統及其相關業務資訊資產之完整性、可用性與機密性。
a) 機密性:確保被授權之人員才可使用資訊。
b) 完整性:確保使用之資訊正確無誤、未遭竄改。
c) 可用性:確保被授權之人員能取得所需資訊。
2.範圍
為強化本會公文G2B2C資訊服務中心資安環境,並符合行政院資安會報規定,A級系統須於96年取得認證,故以公文電子交換系統為本資訊安全管理系統(Information Security Management System,簡稱ISMS)之基礎,並逐漸擴大其範圍。本文件描述G2B2C中心資訊安全管理系統的架構,並闡明G2B2C中心全體人員應遵循的資訊安全政策,以及在資訊安全工作規劃、實踐與持續改進過程中所應扮演的角色與權責。其適用範圍如下:
a) 實體範圍
以下實體範圍內與公文交換系統相關之資訊設備。
1)G2B2C中心。
2)GSN國光機房。
3)GSN異地備援機房。
b)統範圍
1)文交換系統之監控管理。
2)文交換系統之客服系統。
c)織/人員範圍
1)考會資管處第3科。
2)運駐點人員及其他專案之ㄧ般駐點人員。
3.名詞解釋
3.1公文G2B2C資訊服務中心
簡稱為G2B2C中心,範圍含括如下:
a)維運中心。
b)GSN國光機房。
c)GSN 異地備援機房。
3.2維運中心
維運中心為研考會委託承商維運G2B2C中心之地點。
3.3GSN國光機房
GSN機房為研考會委託承商中華電信股份有限公司網際資訊網路業務之臺北永和國光機房。
3.4GSN異地備援機房
GSN異地備援機房為研考會委託承商中華電信股份有限公司網際資訊網路業務之臺中文心機房。
3.5維運權責單位
泛指資訊安全長(Chief Information
Security Officer - CISO)、資訊安全負責人、內部稽核分組及研考會資管處第3科等管理階層。
3.6維運駐點人員
如G2B2C中心系統工程組、維護支援組、客戶服務組等。
3.7系統工程組
負責公文G2B2C資訊服務中心的營運,並配合維護支援組及客戶服務組報告狀況,機動調度處理系統、硬體與客訴等問題。
3.8維護支援組
協助與支援公文G2B2C資訊服務中心的營運及相關問題之處理與行政支援業務。
3.9客戶服務組
負責第一線客戶服務工作,針對來自電話、傳真、網路及email等服務管道提供即時性解答及後續問題追蹤稽核、監控作業及問題處理。
3.10異地備援人員
負責G2B2C中心異地備援及定期演練之任務。
3.11一般駐點人員
除維運駐點人員及異地備援人員外,於G2B2C中心駐點之各專案人員。
3.12接待人員
負責文件及傳真收發、門禁製作及日常辦公室接待等辦公室安全作業。
3.13資訊管理人員
執行各項辦公室資訊安全作業及資訊資產清冊之管理。
3.14第3方
對於有關問題的結果,被公認為與當事者無關連之個人或機構。(CNS
13606)
3.15全體人員
包括維運權責單位、駐點維運人員、一般駐點人員、資訊管理人員、接待人員、異地備援人員。
4.參考文件
4.1行政院及所屬各機關資訊安全管理要點。
4.2行政院及所屬各機關資訊安全管理規範。
4.3電腦處理個人資料保護法。
4.4行政院頒「建立我國通資訊基礎建設安全機制計畫」。
4.5資訊安全推行組織設置程序書。(ISMS-00-2-001)
4.6資訊安全稽核作業程序書。(ISMS-00-2-005)
4.7矯正預防措施管理程序書。(ISMS-00-2-006)
5.資訊安全聲明
5.1資訊安全聲明
a)資訊安全是確保G2B2C中心永續經營的要素之ㄧ。
b)應確保G2B2C中心提供之服務不中斷。
c)工作分派應考量職責分離原則,維運權責單位必須清楚地界定G2B2C中心全體人員對於資訊安全的權責,以避免G2B2C中心資訊或服務遭受未授權之修改或誤用。
d)G2B2C中心應依據業務需求考量,定期測試演練營運持續計劃,以維持其可用性。
e)G2B2C中心全體人員對於資訊安全事件應隨時保持警戒,並依程序進行通報。
f)G2B2C中心全體人員禁止於內部網路上安裝、使用、下載非法或未授權之軟體。
g)G2B2C中心全體人員如違反本資訊安全政策及相關安全規定者,將視情節追訴其法律責任。
6.組織與權責
G2B2C中心為確保依據ISO/IEC 27001:2005 (CNS 27001)標準所擬定之資訊安全管理系統能有效運作與實踐,故明訂相關組織及權責,以推動及維持資訊安全管理系統各類管理、執行與稽核等工作之進行。為負責執行各項資訊安全管理系統之活動,G2B2C中心特設立資訊安全推行小組,其組織架構及權責請參考「資訊安全推行組織設置程序書」。
7.資訊安全管理系統架構
7.1資訊安全管理系統
G2B2C中心為貫徹資訊安全管理,並確保所有資訊與資訊系統獲得適當保護,特依照ISO/IEC 27001:2005 (CNS 27001)標準之要求規劃、建立、實施、運作、監督、稽核、維護與改進資訊安全管理系統,並持續改進本系統之有效性。
7.2運作機制
G2B2C中心係依照ISO/IEC 27001:2005
(CNS 27001)標準,採用"Plan-Do-Check-Act"(PDCA)之循環運作模式,建立整個資訊安全管理系統,並維繫其有效運作與持續改進。
a)規劃與建立 (Plan)
依據G2B2C中心整體策略與目標定義資訊安全管理系統之範圍,並制定資訊安全政策。
1) 制定風險評鑑程序。
2) 找出資訊安全管理系統範圍內之資產,界定其擁有者,分析其弱點與威脅,並評鑑風險發生之機率與對於機密性(Confidential)、完整性(Integrity)、可用性(Availability)之影響程度。
3) 列舉評鑑各種風險處理方式(例如:採行合適之控制措施、接受、規避或轉嫁等),選擇適當之管制目標與措施。
4) 研擬「適用聲明」(Statement of Applicability),載明所選定之安全管制目標、控制措施與選用原因等資料。
5) 風險評鑑結果呈報等維運權責單位核可,並取得系統運作所需之授權。
b)實施與運作 (Do)
1)研擬風險處理計畫,詳述資訊安全風險管理相關之行動方案、負責單位與執行順序。
2)落實執行風險處理計畫,管理相關作業與資源,以達成預期之管制目標。
3)定義如何量測所選擇控制措施或控制措施群的有效性,並具體說明如何使用這些量測去評鑑控制措施的有效性,及產生可比較與可再製的結果。
4)實施資訊安全認知宣導與教育訓練。
5)採行適當之控制措施與程序,以及早發現安全事件並迅速因應處理。
c)監督與稽核 (Check)
1)定期執行資訊安全稽核,並依據稽核結果、安全事件與相關單位之建議與回應,檢討資訊安全管理系統之有效性。
2)因應組織、技術、業務目標或外部環境之變動,檢討剩餘風險值與風險可接受水準。
3)定期辦理管理審查,以確認資訊安全管理系統之範圍是否合宜,相關作業是否持續改進。
4)記錄可能影響資訊安全管理系統運作或效率之活動或事件。
5)量測控制措施的有效性,以證實安全需求已得到滿足。
d)維護與改進 (Action)
1)落實系統改進作業,採行適當之矯正與預防措施。
2)與所有相關單位溝通協調系統改進作業之行動與結果,以確保達成預期目標。
3)持續維護資訊安全管理系統之運作。
8.管理責任
8.1管理承諾
維運權責單位應通過以下方式對於G2B2C中心資訊安全管理系統之規劃、建立、實施、運作、監督、稽核、維護與改進各項作業,具體展現其承諾。
a)制定資訊安全政策。
b)確保資訊安全目標與計畫之建立。
c)訂定資訊安全之角色與職責。
d)宣導遵守資訊安全政策與法令規章、達成資訊安全目標及持續改善之重要性。
e)對於資訊安全管理系統各項作業提供充足之資源。
f)決定接受風險的準則及可接受的風險等級。
g)確保資訊安全管理系統內部稽核作業之執行。
h)執行資訊安全管理系統審查作業。
8.2資源管理
G2B2C中心應確認並提供執行下列事項所需之資源:
a)資訊安全管理系統之建立、實施、運作與維護。
b)確認資訊安全程序可符合業務需求。
c)闡明法令規章之要求與契約之安全義務。
d)正確運用控制措施,以確實維護資訊安全。
e)執行必要之審查,並對結果做適當之反應與處理。
f)改善資訊安全管理系統之有效性。
8.3訓練、認知及職能
G2B2C中心應依下列程序確認參與資訊安全管理系統作業之人員均具備工作所需之相關職能,並認知其工作之重要性與對資訊安全管理系統之目標達成有所貢獻。
a)定義資訊安全之角色與職責。確立資訊安全管理系統運作相關人員必須具備之職能。
b)提供職能訓練,必要時應聘任可滿足職能需求的人員。
c)評鑑職能訓練與相關措施之有效性。
d)建立並維護教育訓練、技能、經驗與資格之相關紀錄。
9.內部稽核
G2B2C中心資訊安全管理系統應定期進行資訊安全內部稽核作業,以檢討資訊安全目標、控制措施與程序是否遵循相關標準、法令、法規或資訊安全需求,並依預期規劃有效執行與維持。內部稽核作業之規劃應考量稽核對象或範圍之重要性與現況,定義稽核之標準、範圍、頻率與方法,確認稽核人員之客觀與公正,並妥善保存相關紀錄。受稽核單位對於不符合事項應及時採行改善措施,並追蹤驗證其適當性、充分性及有效性。內部稽核結果應清楚地於文件中陳述,並保持相關稽核紀錄。詳細作業請詳閱「資訊安全稽核作業程序書」。
10.管理審查
10.1目的
為確保G2B2C中心資訊安全管理系統運作之程序適切與有效,故制訂此審查程序,針對G2B2C中心之資訊安全管理系統定期召開管理審查會議審查,並對矯正措施予以追蹤、檢討與結案。
10.2會議召開
G2B2C中心管理審查會議應定期由資訊安全負責人召開,以持續確保G2B2C中心資訊安全管理系統運作之適切性、充足性及有效性。審查範圍包括管理系統改進方案與變革需求之評鑑,審查結果應予詳實記錄並妥善保存。詳細作業請詳閱「資訊安全推行組織設置程序書」。
10.3審查輸入
管理審查作業之輸入包括下列資訊:
a)資訊安全管理系統稽核與審查之結果。
b)來自利害相關團體之回饋。
c)可以改善資訊安全管理系統運作有效性及效率之技術、產品或程序。
d)預防與矯正措施之執行現況。
e)前次風險評鑑未能指明之弱點或威脅。
f)有效性測量的結果
g)前次管理審查之後續追蹤。
h)任何可能影響資訊安全管理系統之變更。
i)改善建議。
10.4審查輸出
管理審查作業之輸出應包括關於下列事項之決策或行動:
a)資訊安全管理系統有效性的改善。
b)更新風險評鑑及風險處理計畫。
c)必要時應修訂影響資訊安全的程序及控制措施,以反映可能影響本資訊安全管理系統的內外部事件,包含下列變化:
1)業務需求。
2)安全需求。
3)影響現有業務需求的業務程序。
4)法律法規要求。
5)合約責任。
6)風險等級或風險可接受水準。
d)資源需求。
e) 改進量測控制措施的有效性。
11.資訊安全管理系統改進
11.1持續改善
G2B2C中心應透過資訊安全政策、資訊安全目標、稽核結果、事件監控分析、矯正預防措施及管理審查等機制,持續增進本資訊安全管理系統之有效性,詳細作業請參考「矯正預防措施管理程序書」。
11.2矯正措施
G2B2C中心應採取適當的控管措施,以減少資訊安全管理系統建置與運作過程中所發現之不符合事項,並防止再度發生。矯正措施之作業程序文件應規定如下列之要求:
a)指出資訊安全管理系統建置與運作之不符合事項。
b)確認不符合事項的原因。
c)評鑑為防範再發生所需採行之措施。
d)決定及實作所需之矯正措施。
e)記錄矯正措施之執行結果。
f)審查矯正措施之執行結果。
11.3預防措施
G2B2C中心應採取適當的控管措施,以預防本資訊管理系統潛在不符合事項之發生。預防措施之作業程序文件應規定如下之要求:
a)指出潛在之不符合事項及其原因。
b)評鑑預防不符合事項發生所需之措施。
c)確定並實施所需執行之預防措施。
d)記錄預防措施之執行結果。
e)審查預防措施執行之結果。
f)G2B2C中心應識別風險變化情形,並特別注意明顯變化之風險以識別預防措施。另應根據風險評鑑的結果來確定預防措施的優先等級。
12.關聯文件
12.1適用性聲明書。(ISMS-00-2-015
|
