教育体系资通安全管理规范实施自评表-教育机构资安验证中心.doc

教育驗證中心 驗證申請單位： 驗證地址： ： 教育體系資通安全管理規範（中華民國96年5月30日版） 日期： 民國 年 月 日 驗證範圍： 評分標準：A: 相關資訊安全管理制度規範已建立，且落實執行B: 相關資訊安全管理制度規範未建立，但已實施替代性資安控管措施C: 相關資訊安全管理制度規範已建立，但未落實執行D: 相關資訊安全管理制度規範未建立，且未實施替代性資安控管措施E: 不適用  查檢項目 –條款條文 A B C D E 陸、 關於適用性聲明(Statement of Applicability) 本標準之設計為適用於教育體系與相關單位，但鑑於類型、規模、資源、業務性質等因素，若本標準列出之任何條款無法適用於某單位時，可考慮予以排除，但必須在不影響該單位提供資訊安全能力與責任之情況下，並提出理由。在建置完該單位之ISMS後，必須提出符合的適用性聲明，其中應包含選擇之控制目標與控制措施項目與理由，以及排除條款之內容、理由，作為稽核時的依據。 □ □ □ □ □ 捌、 關於資訊安全管理系統(ISMS)建置步驟 捌、ISMS之建立：依據該單位之類型、規模、資源、業務性質等特性，定義ISMS之範圍；考慮相關法律、法規以及合約之要求，於適度評估風險及應對措施後，訂出經由管理階層核准之ISMS政策，並擬定一份適用性聲明書文件。 □ □ □ □ □ 捌、ISMS之實施與操作：施行單位應確實實施控制措施，以符合控管的目標，並執行訓練與認知計畫，確保偵測安全事件的能力，以及迅速回應和應對處理的時效。 □ □ □ □ □ 捌、ISMS之監控及審查：施行單位應針對ISMS進行監控程序與其他控制措施，即時鑑別資安事件的發生、處理順序與解決方法；定期審查ISMS之有效性(建議一學年至少一次)，並將相關有顯著影響之活動與事件記錄下來。 □ □ □ □ □ 捌、ISMS之維持及改進：施行單位應定期實行改進活動，採取適當的矯正與預防措施，並得到管理階層之同意，並確保各項措施達到預期目標。 □ □ □ □ □ 玖、 關於資訊安全管理系統(ISMS)建置需求 文件要求：關於ISMS文件化(電子檔案或紙本)，必須包含安全政策、安全目標、ISMS範圍、適用性聲明、資安事件記錄以及其他有助於提升ISMS成效之文件；上述之文件需接受保護與管制，並定期的審查及更新，確保文件之最新版本；任何過文件需保留或銷毀，應予以適當的鑑別。 □ □ □ □ □ 玖、八 管理階層責任：施行單位之管理階層，最為重要的是給予承諾及實際的支持，並適度的提供資源以助ISMS程序的進行，必要時審查ISMS的控制措施與有效性；另外，確保於ISMS範圍內之員工，具備足夠之能力及認知，並定期進行教育訓練。 □ □ □ □ □ 玖、九 管理階層審查：管理階層應在規劃期間內，審查該單位的ISMS與適用範圍，確保其持續的適用性、適切性及有效性；其中應審查包含變更需求與改進時機，並將其結果確實文件化。 □ □ □ □ □ 玖、十 ISMS之改進：ISMS的改進是持續的，必須藉由各資安事件與審查結果，做出適度的反應與改進，持續系統之有效性；另外，對應的矯正措施以及防範未然的預防措施，亦須予以制定並文件化。 □ □ □ □ □ 查檢項目 –條款章節條文自評結果 相關參考文件 A B C D E A5 資訊安全政策 A.5.1 資訊安全政策 A.5.1.1 資訊安全政策制定 資訊安全政策應參考資安相關法令及施行單位業務上的需求，並經由管理階層核准，以適當方式向所有員工公佈與宣導，在必要時告知相關單位及合作廠商，以利共同遵守。 □ □ □ □ □ A.5.1.2 資訊安全政策評估 面對資安事件的發生、資安相關法令與其他影響因素的改變時，資訊安全政策應進行即時的評估，並定期審查政策的可行性與有效性。 □ □ □ □ □ A6 資訊安全組織 A.6.1 資訊安全 A.6.1.1 資訊安全組織推動以及權責之分配 由管理階層舉辦定期之資訊安全會報，召集相關單位代表進行工作與責任的分屬，確保資安相關計畫的進行，並展現管理階層的支持。 □ □ □ □ □ A.6.1.2 資訊設施使用之授權 資訊處理設備的移轉(包含新設備)，應由權責主管人員進行授權、移交的程序，確保該設備後續的順利運作以及責任所屬。 □ □ □ □ □ A.6.1.3 保密條款之簽訂 施行單位之員工(包含正