适用性声明书-中州科技大学.doc

管理系統文件 文件類別 第 一 階 文 件 文件編號 ISMS-M-002 文件名稱 適用性聲明書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 1.資訊安全管理制度範圍：本校圖資處辦公區域環境、資訊機房及校務行政系統運作及維護之安全管理。 2.適用性聲明 條文編號 ISO 27001控制要項 是否適用 參考文件 適用與非適用之說明 A.5資訊安全政策 A.5.1資訊安全的管理方向 控制目標：依照營運需要及相關法律與法規，提供管理階層對資訊安全之指示與支持。 A.5.1.1 資訊安全政策文件 Y 資訊安全管理政策 資訊安全管理政策為本校資訊安全最高指導原則，為確保資訊安全各項作業能順利運作，須制訂資訊安全管理政策並公告週知。 A.5.1.2 資訊安全政策之審查 Y 資訊安全管理政策 為維持「資訊安全管理政策」之適用性及正確性，須定期於「資通安全管理委員會」會議中進行檢討、修訂。 A.6資訊安全的組織 A.6.1內部組織 控制目標：建立一個管理框架，用以開創與管制組織內資訊安全的實施和操作。 A.6.1.1 資訊安全的角色與責任 Y 資安及個資保護組織與權責管理程序書 為有效落實資訊安全管理政策及相關管理規範，須明確定義資訊安全相關責任。 A.6.1.2 職務的區隔 Y 人力資源安全管理程序書 為降低人員蓄意或誤用對資訊系統所造成之風險，應將人員分工並作職責區隔。 A.6.1.3 與權責機關的聯繫 Y 資安及個資保護組織與權責管理程序書 為確保資訊安全相關事件發生時能立即得到相關之建議或緊急之處理，應與主管機關或消防單位維持適當之聯繫。 A.6.1.4 與特殊利害相關團體的聯繫 Y 資安及個資保護組織與權責管理程序書 為取得新技術或相關資訊安全知識，應與資訊安全專家提供資訊安全相關建議。 A.6.1.5 專案管理的資訊安全 Y 委外作業管理程序書 已於內、外部專案管理的過程中，透過風險評鑑明訂及陳述與專案相關之各項資訊安全要求。 A.6.2行動設備與遠距工作 控制目標：確保遠距工作與使用行動設備的安全。 A.6.2.1 行動設備的政策 Y 資訊設備維護與管理程序書 為確保系統使用行動電腦作業之安全，應加以控管。 A.6.2.2 遠距工作 Y 委外作業管理程序書 為確保本校委外廠商以遠端方式存取本校資訊設備之安全性，應予以控管。 A.7人力資源安全 A.7.1聘僱之前 控制目標：確保員工與承包商了解他們的責任，且適合他們被認定的角色。 A.7.1.1 篩選 Y 人力資源安全管理程序書 為確保人員晉用時符合內部規定或資格之要求，應建立相關作業人員任用篩選標準。 A.7.1.2 聘僱條款與條件 Y 人力資源安全管理程序書 為確保人員安全，人員任用時需描述其對本校相關安全要求。 A.7.2聘僱期間 控制目標：確保員工與承包商認知並履行其資訊安全的責任。 A.7.2.1 管理階層責任 Y 資安及個資保護組織與權責管理程序書 人力資源安全管理程序書 為落實資訊安全相關規定，員工或外包廠商於工作執掌中應包含明確之資訊安全管理責任。 A.7.2.2 資訊安全認知、教育及訓練 Y 人力資源安全管理程序書 人員教育訓練管理程序書 為加強相關作業人員資訊安全認知以及相關技能，需進行相關教育訓練。 A.7.2.3 懲處過程 Y 人力資源安全管理程序書 為使違反資訊安全規定情節者有警惕，應建立相關懲處規定。 A.7.3聘僱的終止與變更 控制目標：保護組織的利益，作為變更或終止聘僱的過程之一部分。 A.7.3.1 聘僱責任的終止與變更 Y 人力資源安全管理程序書 為確保人員於聘僱終止後一段時間其保密協定及任用條件仍為有效，應於雙方協定或合約中清楚定義。 A.8資產管理 A.8.1資產責任 控制目標：鑑別組織的資產與明訂適當的保護責任。 A.8.1.1 資產清冊 Y 資訊資產管理程序書 為確認所需保護之標的，應清查所有資產並適當的分類後列冊。 A.8.1.2 資產的擁有權 Y 資訊資產管理程序書 為確保所有資訊資產皆有適當之維護，應指派專人負責管理。 A.8.1.3 資產之可被接受的使用 Y 資訊資產管理程序書 為確保人員對資訊資產使用皆