所謂的資訊安全政策,代表著管理階層的決心以及其對於單位推動 資訊安全的支持,除了制定資訊安全政策以貫徹致單位上下外,不斷的 評估、檢視已制定資訊安全政策的合適性與否,也是重要的部份;本章 節的重點,在於管理階層的態度表示,雖不至於各項細節皆事必躬親,
然而大方針的規劃與制定,將能讓所有的員工體認管理者的投入,以及 對於單位資訊安全重要性的了解。
本章節主要的內容可參照下表:
本規範 附錄B
教版規範 2007年版
A.5資訊安全政策 A.5
控制目標 A.5.1 資訊安全之管理指導方針 B.1.1 A.5.1
控制項
A.5.1.1 (*)
資訊安全 政策
資訊安全政策應由管理階層定義並 核准,且對給所有員工及相關外部 各方公布及傳達。
B.1.1.1 A.5.1.1
A.5.1.2 (I/P)
資訊安全 政策之審 查
資訊安全政策應依規劃之期間或發 生重大變更時審查,以確保其持續 的合宜性、適切性及有效性。
B.1.1.1 A.5.1.2
實作指引
一、資訊安全之管理指導方針(A.5.1)
(一)資訊安全政策(A.5.1.1)
資訊安全政策應由管理階層定義並核准,且對給所有員工 及相關外部各方公布及傳達。
施行單位制定資訊安全控制政策或原則,應說明管理階層 的承諾及該單位管理資訊安全的方法,宜含括下列事項:
1.符合法令及契約對施行單位資訊安全的要求與規定。
2.人員資訊安全角色與責任的相關規定,宜載明於人員工作說 明書或相關作業手冊中。
3.施行單位員工如違反資訊安全相關規定,應依紀律程序處 理。
4.政策遵須所需參考文件,例如針對特定資訊系統的詳盡安全 政策和程序或使用者應遵守的安全規則。
同時導入資安管理制度與個資管理制度於施行時可參考下 列保護實作指引:
1.資訊安全政策宜包含個人資料防護的安全機制,其細節如 A.18.1.4。
2.設計、實作與審查資訊安全政策時,組織宜考量隱私防護的 要求。
3.對於非安全相關的個人資料管理部分,組織宜參照附錄 B 指 引,另外產出獨立的個資管理政策。
(二)資訊安全政策之審查(A.5.1.2)
資訊安全政策應依規劃之期間或發生重大變更時審查,以 確保其持續的合宜性、適切性及有效性。
面對資訊安全事件的發生、資訊安全相關法令與其他影響 因素的改變時,資訊安全控制政策或原則應進行即時的評估,
並定期(宜每半年)審查政策或原則的可行性與有效性。
施行單位宜評估資訊安全控制政策或原則,含括下列事 項:
1.資訊安全評估對象宜包含資訊設備及系統提供者、資訊及資 料擁有者、使用者、管理者、系統維護者與其他相關人員。
2.資訊系統管理者宜配合定期(宜每半年)資訊安全評估作
規範與其他規定。
3.宜定期(宜每半年)檢討評估各項軟、硬體設備的安全性,
確保其符合施行單位的安全標準。
4.安全評估可視需求委由內部或外界專業人員進行,以人工或 自動化軟體工具方式執行,產生技術評估報告,供日後解讀 分析。
5.評估宜記錄備查。
6.修訂過的控制政策宜獲得管理階層的批准。