CPWEIA 中華民國公共工程資訊學會

Menu

資訊安全政策

一、資安系統規劃

資安系統規劃與實施
    • 本學會資訊安全管理涵蓋組織控制(A.5系列)、人員控制(A.6系列)、實體控制(A.7系列)、技術控制(A.8系列)等領域,依據ISO 27001:2022年版條文展開必要之資安管制措施,以避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,造成學會可能產生風險及危害,相關作業規範請參考【適用性聲明書】。
    • 本學會依據政策要求,由資安小組訂定量化績效指標,經資安單位主管核准後,於網路系統或公佈欄中加以公告,並定期審核其達成狀況。
資安制度架構
    • 本學會因應整體資安系統之建置開發、實施操作、監控審查及持續維持改進之規範,並依據本學會業務活動與風險,以本【資訊安全政策】。
    • 本學會應決定與本學會營運目的相關,且會影響資安系統預期成果之內部與外部議題,鑑別出組織全景;以及與本學會所提供服務之利害關係者,列舉各利害關係者的需求與期望,以決定本學會資安系統之範圍。
本學會係依照下列步驟建立資安系統:
    • 成立【資安推動小組】。
    • 頒布「資安政策」,以說明本學會政策、目標與執行方式。
    •  進行風險評估作業,發掘資產與組織之安全弱點及其威脅與影響,並評估其風險等級,彙整成【風險評鑑報告】後,執行及追蹤【風險處理計畫】。
    • 選擇適合之資訊安全管制措施,並檢討確認其可行性與有效性。
    • 將所選定之安全管制目標、管制措施、選用原因等資料記載於【適用性聲明書】中。
    • 落實資安制度並持續改善,適時檢討並做必要之修正。
    • 所有內外部員工及外部供應商所派駐人員均須遵循本學會資安政策與目標、各作業流程、規範及法令法規要求。

外部供應商在執行本學會委外業務時若有複委託之需求,應評估複委託業務相關之資安風險,並要求外部供應商依資安系統等相關規定對複委託廠商進行適當之監督與管理。

 

對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊外洩及違反法令之風險。

 

應決定及建立與資安系統相關的內部與外部溝通之需求及準則,內容須包含:要溝通什麼、何時溝通、和誰溝通、應是誰溝通以及應實現哪種溝通過程,確保資安系統各項資安業務在內部適度的溝通與傳達,以利資安系統之推動與管理。

 

應制定可攜式資訊設備(包含手持裝置)及可攜式儲存媒體之管理規範,要求同仁落實執行,並定期針對可攜式資訊設備(包含手持裝置)及可攜式儲存媒體進行風險評鑑,依據風險評鑑之結果選擇適切之控制措施,定期對同仁執行查核作業,確保使用可攜式資訊設備及儲存媒體之風險受到監控,降低機密資料外洩之風險。

 

資安系統之實施及操作
    • 應制定風險處理計畫,鑑別適當管理措施,以便管理資安風險。
    • 實施風險處理計畫中所選定之控制措施,以對各項風險加以防禦,包含實施既定管理計畫,以達到所鑑別目標。
    • 應擬定安全控制措施有效性之量測指標與使用方法。
    • 應針對人員資安所需實施訓練與認知提供計畫。
    • 各項作業需遵照作業規範執行或執行計畫,資安小組應不定期檢視與管理執行狀況。
    • 須定時衡量各項計畫目標執行狀況,並依據衡量結果適時調整措施與目標。
    • 並確保各項改善目標受到監控,並提供以作為紀錄的文件化資訊。
    • 執行時應規劃所需資源管理。
    • 資安小組利用不定期巡視、內外部稽核或人員所提出之建議事項,以掌握各安全事件並緊急應變處理。
資安系統之監控及審查

本學會採用下列監控方式:

    • 定期執行之內部稽核,以確認系統有效實施。
    • 定期檢查及記錄各項監控指標,以協助判斷安全事件,預防及立即處理安全事故之發生。
    • 人員應定期及不定期巡視檢查各項設備及環境是否皆屬正常狀態。
    • 利用攝影機監視各管制區域進出狀況並錄影存證。
    • 單位主管應隨時注意各項通報事件或人員工作執行狀況,進而決定相應的控制措施。
    • 管理階層定期會議,追蹤可能存在的安全漏洞,並決定解決之道。
    • 於資安管理委員會中審查資安風險、殘餘風險與可接受風險等級,並考慮各規範是否有效控制。
    • 每年至少召開一次資安管理審查會議,執行正式的資安系統審查,以確保範圍適當及資安系統過程之各項改善措施均已鑑別與實施。
    • 應依據監視及審查結果,適時修訂資訊安全管理計畫,以符合資安政策、資安目標與各項資訊安全要求。
    • 持續改善資安系統。

二、資安文件要求

本學會資安系統文件化包括下列各項:

    • 政策與目標之書面聲明。
    • 適用性聲明書。
    • 系統適用範圍及各項作業規範。
    • 風險評鑑報告。
    • 風險處理計畫。
    • 本學會維護資安系統所需之文件。
    • ISO 27001系統要求之紀錄。
    • 文件管制措施:資安系統所需之文件應受保護及管制,紀錄是文件之一種型態,應依所定的要求予以管制,參考【文件管制作業程序】辦理。
    • 在文件發行前核准其適切性。
    • 必要時,審查與更新並重新核准文件。
    • 確保文件之變更與最新改訂狀況已加以鑑別。
    • 確保在使用場所備妥適用文件之相關版本。
    • 確保文件易於閱讀並容易識別。
    • 確保文件於需使用時能隨時取用,並且於文件傳遞、保存及毀棄時皆能遵守文件管制規定辦理。
    • 確保外來原始文件已加以鑑別。
    • 確保文件分發有適當管制。
    • 防止作廢(失效)文件被誤用,作廢文件為任何目的需保留時,應予以適當鑑別。
紀錄管制措施
    • 為確保資安系統符合本學會要求及提供有效運作之證據,應建立及維持執行資安系統作業規範之各項紀錄,並予以管制,並將相關法律法規及合約要求列入考量。
    • 紀錄應清晰易讀,容易識別及檢索。紀錄之鑑別、儲存、保護、檢索、保存期限及作廢,應建立文件化規範,以界定所需之管制。
    • 紀錄應妥善保存。
    • 所需之紀錄及其範圍應由管理過程加以決定,該過程應記錄重大決定,並將紀錄之用途及缺少紀錄時相關之風險列入考量。

三、管理階層責任

管理階層承諾,為使資安系統推動順利,管理階層應:

    • 建立政策、目標及計畫。
    • 成立資安管理委員會,以明訂及文件化資訊安全之角色與責任。
    • 各單位主管應儘量藉由各種內部公開會議或集會時,向所有人員宣達符合資訊安全目標、法律及法規要求之重要性,以及持續改進之需求。
    • 提供充分資源,確保能建立、實施操作、監控審查及持續維持改進資安系統。
    • 定期執行資安系統之內部稽核作業。
    • 定期召開資安系統之管理階層審查會議
    • 決定風險評鑑後之可接受風險等級。

四、資源管理

資源提供

為確保資安系統執行無礙,應決定並提供下列工作之必要資源:

    • 提供建置與維護資安系統時所需的人力與資源設備。
    • 提供實施資安系統時必要之協助。
    • 確定各項安全規範可配合營運需求。
    • 鑑別並提出法律與法規的要求以及於各項合約上之註明安全義務。
    • 正確應用所有實施的控制措施,以維持適當之安全。
    • 當需要時,進行審查並針對審查結果作適當因應。
    • 當必要時,改進資安系統之作業流程,以確保其有效。
訓練、認知及能力

為確保所有同仁皆有能力執行所要求之工作與符合各項安全要求,應藉由各種途徑取得協助同仁執行教育訓練,包括下列方式:

    • 提供各種能力訓練以滿足該需求。
    • 藉由測驗、繳交心得報告或證書取得等方式,評估所提供訓練之有效性。
    • 確保同仁認知其所從事的活動之相關性及重要性,以及他們如何對安全目標之達成有所貢獻。
    • 應留下教育訓練、技能、經驗及評定資格等記錄。

相關作業請參考【人員資安保密管理程序】。

 

五、內部稽核

每年定期執行內部稽核,確保資安系統的各項管制目標、控制措施、運作過程以及各項規範是否:

    • 符合ISO 27001與相關法令或法規之要求。
    • 本學會所制定之作業規範、政策、目標或其他相關要求。
    • 有效地實施與維持資安系統。
    • 相關作業請依據【資訊安全組織管理程序】辦理。

六、管理階層審查

本學會資安管理委員會至少每年召開一次管理審查會議,針對現行之資安系統進行審查,以確保相關規範的適用性、適切性及有效性皆符合本學會需求,並評估相關政策與目標的改進時機,或是其他的變更需求,且審查結果應留下相關文件與紀錄備查。


審查輸入

管理階層審查至少應包含下列項目:

    • 前次管理審查決議事項之追蹤。
    • 有關可能影響學會的外部與內部資訊安全議題之變更。
    • 與資訊安全管理系統有關的利害關係者的需求和期望的變化。
    • 資訊安全的績效回饋,包含下列趨勢:
      1. 不符合事項與矯正措施之執行狀況。
      2. 監督與量測結果。
      3. 內外部稽核的結果。
      4. 資安目標的實現。
    • 利害相關團體的回饋。
    • 風險評鑑的結果與風險處理計畫的狀態。
    • 持續改進的機會。
審查輸出

管理審查的產出應包含和持續改進機會與資安系統的變更需求有關之決定,管理審查產出包含但不限於下列事項:

    • 學會有效性之改進。
    •  風險評鑑與風險處理計畫之更新。
    • 影響資訊安全程序與控制要項之必要修改,以及回應可能衝擊學會之內部或外部資安議題。
    • 所應提供之資源需求。
    • 應保存文件化資訊及管理審查結果的證據。

相關作業請依據【資訊安全組織管理程序】辦理

 

七、資安系統之改進

持續改進
    •  本學會經由資安政策、目標、內外部稽核、事件監控之分析、矯正與預防措施以及管理階層審查,由資安人員負責所有風險發生或不符合事項之監控,並追蹤相關業務承辦人之改善情形,以持續改進資安系統之有效性。
    • 本學會應根據ISO 27001標準的要求建立、實施、維護和持續改進資訊安全管理系統,包括所需的過程及其互動。
不符合事項及矯正措施

本學會採取適當的控管措施,以減低資安系統在建置、操作及使用時所產生的不符合事項,以防止再度發生。矯正措施之內容應包含下列各項:

    • 鑑別各項不符合資安要求之事項。
    • 判定各項不符合事項發生之原因;或判定是否有其他類似不符合事項存在,或可能發生。
    • 評估各項矯正措施之需求,以確保各項不符合事項不復發。
    • 決定及實施所需之矯正措施,並確保該措施與不符合事項之程度相稱。
    • 審查所採取之矯正措施有效性。
    • 記錄所採矯正措施之性質、結果,並保存所有過程紀錄。
    • 當必要時,對資訊安全管理系統實施變更作業。

八、管理系統之變更程序

不論因何種需求產生資訊安全管理系統之變更,均應依據下列規範實施才可以進行變更作業。

    • 因應風險評鑑而發現之中、高資安風險事項產生之變更需求,請參考【資訊資產與風險評鑑管理程序】辦理。
    • 因應弱點掃描、源碼檢測、系統監控、資安異常或資安事件等領域產生之變更需求,請參考【資安事件管理程序】、【軟體使用管理程序】、【網路安全管理程序】、【系統開發與維護管理程序】、【矯正與預防措施處理程序】辦理。
    • 因應內部稽核、外部稽核以及於資安管理審查會議之提議事項而發現之變更需求,除依據【資訊安全組織管理程序】辦理外,另參考【文件管制作業程序】辦理文件變更作業。
    • 所有變更之進行,均應依據原程序擬定方式進行變更作業。

九、審查與實施

本手冊每年於管理審查會議評估與因應變更需求;以及如遇驗證範圍重大改變時,應立即審查以確保其適當性與有效性。


適用性檢討

資安小組在承辦各項業務時,可隨時進行組織與權責適用性之檢討,若有訂、修、廢之需求時,依照上述之訂、修、廢規定辦理,同時將適用與不適用之原因更新於「適用性聲明書」之中。