:::
制定本院資訊安全制度(資訊安全組)
最近更新:2018-04-02 15:04
分享到: 分享到Facebook 分享到Line 轉寄 列印

專案緣起:隨著電腦及網路的應用日趨普及與深入各個領域,資訊安全已成為現代社會的重要課題,資安的觀念也廣為各國政府和企業所接受、認知和重視。資安的落實,有賴妥適的資安制度,要求員工據以執行業務。資安制度必須文件化,其實施與稽核才能有所依循。為了規劃本院資安制度的框架(framework)(簡稱資安框架),計算中心同仁參考資安國家標準CNS 27001《資訊安全管理系統需求事項》、CNS 27002《資訊安全管理之作業規範》,以及資安法令《行政院及所屬各機關資訊安全管理要點》、《行政院及所屬各機關資訊安全管理規範》、《國家資通安全通報應變作業綱要》等,將本院資安制度的文件化工作,由上而下區分為「政策」、「規範」、「要點」及「程序」共4個層級,並逐一草擬相關文件。

專案目標:本院資訊安全政策前言即敘明本院推動資訊安全制度的目的為:「建立可信賴之資訊作業及電子交換環境,確保資料、系統、設備及網路之安全,以協助本院研究及行政工作之正常運作」。

範圍:依據本院資訊安全管理規範規定,本院應就下列事項訂定管理作業要點或程序:

  1. 人員管理暨資訊安全訓練。
  2. 電腦機房安全管理。
  3. 網路安全管理。
  4. 電腦系統安全管理。
  5. 資訊系統存取控制管理。
  6. 資訊系統發展及維護安全管理。
  7. 電子資料安全管理。
  8. 其他有關資訊安全事項。

以實施對象而言,本院各種資訊要點因須適用於各單位,屬全院性事務,應由資安委員會審議、院長核可後公布實施;各研究所(處、中心)和計算中心再依據各種資安要點,訂定資安程序以落實各自的資安控制措施。

專案推動歷程:為健全本院資訊安全制度,從97年12月開始本中心在徐主任的帶領下歷經近30次的內部會議討論,以及仰賴本院資訊安全委員會各位委員付出許多時間及心力進行審議,終於完成本院第1階至第3階之資訊安全規章的制定,相關工作說明如下:

1. 訂定本院資訊安全規章框架
為建立本院資訊安全制度,本中心同仁參考資訊安全國家標準CNS 27001《資訊安全管理系統需求事項》、CNS 27002《資訊安全管理之作業規範》,以及《行政院及所屬各機關資訊安全管理要點》、《行政院及所屬各機關資訊安全管理規範》、《國家資通安全通報應變作業綱要》等相關資訊安全法令,將本院資訊安全規章框架,由上而下區分為政策、規範、要點及程序等4階文件。

 

2. 研擬本院資訊安全政策、規範以及委員會設置要點,送請院長核定
以上三項規章已於98年3月24日提送本院第827次主管會報討論通過,並於98年4月8日經翁院長核定後公布施行。

a. 《中央研究院資訊安全政策》為本院資訊安全規章第1階文件,說明本院對於保全資訊資產方面所抱持的態度、信念,以及控制措施要求。

b. 《中央研究院資訊安全管理規範》為本院資訊安全規章第2階文件,係用以規範建構本院資訊安全體系及資訊安全分工原則,以落實本院資訊安全政策。

c. 《中央研究院資訊安全委員會設置要點》為本院資訊安全規章第3階文件,說明本院資訊安全委員會的組成方式及權責。

 

3. 推動成立本院資訊安全委員會
依據院長核定之《中央研究院資訊安全委員會設置要點》於98年5月成立資訊安全委員會。本院資訊安全委員會負責審議本院各種資訊安全管理或作業要點,檢視改進本院資訊安全措施。

 

4. 研擬本院各種資訊安全管理要點,並舉辦座談會
本中心依《中央研究院資訊安全管理規範》的要求,完成以下第3階資訊安全規章之撰寫:
另為讓各單位了解本院資訊安全制度的規劃及彙整各單位的意見,本中心於98年6月25日召開「全院資訊室主管及管理者經驗交流座談會」,說明本院資訊安全規章的內容,並進行討論、溝通。

a. 資訊安全訓練及管理實施要點

b. 電腦機房安全管理要點

c. 網路安全管理要點

d. 電腦系統安全管理要點

e. 應用系統存取控制管理要點

f. 應用系統發展及維護安全管理要點

g. 電子資料安全管理要點

h. 資訊安全事件通報及處理要點

i. 資訊安全內部稽核作業要點

 

5. 資安規章審議、核定及公布施行
為推動本院資訊安全工作,本院資訊安全委員會從98年5月起已召開4次會議及1次書面審查,討論通過本院資訊安全第1階至第3階之文件,包含:資訊安全政策、規範以及各項要點等共12項資訊安全規章,經本中心於98年9月底陳請翁院長核定後公布施行。

 

6. 後續工作
為達成本院資訊安全政策、規範及各項要點等資安規章的要求,院內各單位應對所負責的業務或系統,構思如何在不影響日常運作的情形下循序漸進的訂定相關的資訊安全計畫、參考指引、參考原則、作業程序、作業流程及紀錄表格等第4階規章文件,要求同仁遵循程序執行業務,確實記錄各項資訊安全工作之過程與結果,並定期檢視與改善各項資訊安全措施,以落實資訊安全制度。 本中心將採用ISO/IEC 27001資訊安全管理系統國際標準,以「計劃-執行-查核-行動」的發展模式(Plan-Do-Check-Action),以3年為期(每年為一期),從本中心核心業務開始,逐步建立本中心所負責之業務及系統的資訊安全管理制度,詳情請參考本中心「計算中心資訊安全管理系統第一期專案計畫」。

 

聯絡資訊:計算中心資安組 電話:02-27898846 email: ascctix