持续改善管理程序V1.docVIP

持续改善管理程序 版本 日期 修改内容 制/修订者 核准者 1. 目的： 为使公司不断改善信息安全管理措施,提高信息资产的安全,以达到提高信息资产的安全性,降低资安风险之目的。 2. 范围： 公司信息资产管理范围内之各项信息设备、工作人员、文件数据、内外部支持服务、基建与环保类信息资产管理措施，均属于不断改善之项目。 3. 定义 无 4. 权责： 4.1 提案改善之提出：全员。 4.2 改善项目计划制订：项目经理或指定之项目负责人员。 4.3 改善项目计划核准：厂区最高主管或事业部产品线最高主管。 4.4 改善项目执行：项目改善小组 4.5 改善项目效果评定：风险评鉴小组 5. 流程图(见下页) 权责部门 输　入 (窗体/记录/文件) 作业流程 管制重点 输出 (窗体/记录) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 衡量 指标 相关单位 各部门统计报表 依衡量指针进行数据收集 各部门统计报表 改善小组 各部门统计报表 改善小组进行数据分析 数据分析报表 改善小组 各部门统计报表 依资料分析结果,由改善小组计论提出各项改善点 会议记录 风险评鉴 小组 改善计划目标 N 改善目标应由风险评 鉴小组审核后执行之 会议记录 改善项目 负责人 改善目标 Y 内容应包含执行期限、主要负责人、所须的资源等 书面改善计划 改善小组 书面改善计划 责任单位依书面改善执行相关的改善作业 书面改善报告 改善项目 负责人 书面改善计划 N 每月定期检讨审核目标之执行情况 改善进度追踪表 风险评鉴 小组 改善效果评鉴 Y 改善项目完成结果评鉴 效果评鉴记录表 改善小组 书面改善报告 依「文件及记录管理程序」执行 6.作业内容： 6.1 各相关单位依据信息安全管理各项衡量指标收集日常之管理数据。 6.2 改善小组按各相关单位收集之日常管理数据做分析，提出信息安全管理过程中可能存在的风险，并对风险做出初步的评估。 6.3 高阶管理层依据信息安全收集数据之分析及初步评估，针对管理中可能存在的信息安全风险，提出相应的改善议题，并指派项目经理或项目负责人，或由各相关单位主管提出相应的改善议题同是指派改善负责人，项目经理或项目负责人应针对改善议题组建“项目改善小组”，执行改善目标之制订及改善计划方案，经小组评估后制订“项目改善计划”。 6.3.1 项目改善小组：由项目经理或项目负责人担任召集人，组员成员由项目负责人与相关部门协调组成，任务由项目负责人分派。 6.3.2 改善目标之制订：由项目经理或项目负责人主导，改善小组共同讨论确立改善项目之目标，此目标需能弥补改善议题之缺失。 6.4 项目改善目标制订完成后，需经风险评鉴小组对改善目标做出评鉴，以确认此改善动作 可以完全弥补改善议题之缺失，达到信息安全之要求目标。 6.4.1 改善目标经评鉴后不能达到信息安全要求之目标，则需退回改善小组重新制订改善目标，直至评鉴结果确认可达到信息安全要求之目标。 6.4.2 改善目标经评鉴可达到信息安全要求之目标后,需报经高阶管理层审核后由善小组依据此目标制订具体的改善方案。 改善计划由项目经理或项目负责人与小组成员讨论后提出，计划应包括改善目标，资源 取得及运用，人力安排，改善方案，实施步骤及执行进度计划等。 6.6 项目改善小组应针对核准的改善目标及具体的改善计划彻底执行，并可依实际执行状况，适时地修正改善计划，但不能变更改善目标。小组应视需要自行召开会议，确认任务的达成状况。 6.7 项目经理或项目负责人需定期检讨改善计划的执行情况，确认各项改善计划有彻底的执行，并依据实际情况，适时适当的调整改善方案，改善动作全部执行完后及时检讨改善的效果是否达到预期的目标，并对改善结果做出初步评估，以确认是否需做进一步的改善。 6.7.1 执行改善计划之项目应择期由项目召集人向主管报告执行进度及成果，并提出可能需要的支持。检讨会议应予以记录，作为各阶段的绩效评估之依据，预订目标亦可在此会议中予以修订，但仍需核准。 6.7.2 改善动作完成后，