用户投稿资通安全责任等级
依照资通安全责任等级分级办法,由主管机关核定相对应之等级,按照等级决定导入系统之验证範围,例如:A级机关初次受核定或等级变更后之二年内,全部核心资通系统导入CNS 27001或ISO 27001 等资讯安全管理系统标準、其他具有同等或以上效果之系统或标準,或其他公务机关自行发展并经主管机关认可之标準,于三年内完成公正第三方验证,并持续维持其验证有效性。资通安全维护计画
首先要说明的是,虽然前面依照资通安全责任等级分级办法的要求,需要验证核心系统,但并不代表组织可以忽略其他部分,这一点在资通安全维护计画的範本中可以得到证明。首先资通安全维护计画的範围是适用全组织,并非只有核心系统,换言之,整个资讯安全管理制度(资通安全维护计画所规範的事项)是所有人都应该要遵守的,在计画中除了核心系统外还有非核心系统,并且需要了解业务失效的影响以及最大可容忍中断时间。从此处来看,资通安全维护计画範本是参考条文第四章的精神,请各组织先行针对背景资讯进行分析,才能写出前面这些资讯。
综合以上步骤,有关资安法适用机关的範围订定,建议是先从验证範围(核心系统)进行导入及验证,再逐步扩展至全组织;当然如果组织有足够的支持、人力及资源,一次性将所有单位导入,这也是很好的做法,但是一定要事先妥善评估,免得导入时遇到太大的阻力而无法顺利完成。适用机关一定要能明确区分业务及系统,核心业务不一定会有系统来支持,但机关一定有核心业务,而这些业务资讯的机密性、完整性及可用性是资讯安全管理系统需要管理的範围。并不是一定要有一个资讯系统才能建立资讯安全管理系统,请不要把业务与範围混淆,造成管理上的疑惑。
(二)非资通安全管理法适用组织
对于未受到资通安全管理法规範的组织,可能有部分还是会受到资通安全管理法或其他法令的影响,所以我们建议的步骤如下:
确认法规命令:除了资通安全管理法之外,还有其他法令规範要求导入或验证ISMS,例如教育部对私立大专院校、卫福部对地区等级以上医院、经济部对电子发票加值中心、金管会对提供线上投保的保险公司等,都有一定的规範,如果适用,应该依照法令规範订定範围。
为何需要ISMS:一般组织需要导入ISMS都有其目的,请先了解为何需要ISMS?可能是客户要求、可能是觉得某项业务的资讯安全非常重要以致会影响组织生存目标。
核心业务:从前面两项分析中寻找出组织赖以生存的核心业务,在从业务中寻找其依赖的核心系统,这个步骤与前面相同。
决定适用範围:依照前面的分析,採取下列方式之一(或者可以用混合的方式),来决定ISMS最佳适用範围:
(1)以部门别定义:提供资讯中心办公区之资讯安全管理活动
(2)以应用系统别定义:供客户服务系统、行政管理系统之开发、操作与维护之资讯安全管理活动
(3)以产品/业务别定义:主机代管机房、网路维运部之资讯安全管理;资安检测中心之安全维运管理
(4)以实体区域定义:电脑机房、研发中心之资讯安全维运管理
範围边界及关联性管控:针对边界及关连性之风险明确规範管理的方式及要求(例如:委外)。
管理阶层核准:高阶管理者应针对範围予以纪录并正式核准,以确认高阶管理者能接受之範围。
微信扫一扫打赏
支付宝扫一扫打赏
