00301A-东方设计学院.docVIP

東方設計學院圖書資訊處 資訊安全文件管制要點 九十七年四月二日圖資委員會議通過 九十九年九月二十九日圖資委員會修訂通過一○四年四月二十二日圖資委員會修訂通過 一、目的 此程序文件的形式和基本需求，涵蓋了「東方設計學院圖書資訊處」依據「教育部資訊安全管理規範」對資訊安全之規定的管理和運作。 二、責任 凡資訊安全範圍內的所有活動及流程的負責人員均有責任提供相對應之各項活動及流程之書面程序文件。涵蓋資訊安全管理架構的程序受到本文件控制程序的管制。 三、需求 本程序所涵蓋的文件應該： 獨特的參考出處。 易讀的和明確識別。 非一般發行時應適當的保護，並防止未經授權之存取。 已被授權的人員在執行相關程序時是可取得並使用該程序文件，並放置於操作範圍內的地點。 定期的審查及修訂，以確保與「東方設計學院圖書資訊處」的安全政策一致。 以版本為管控依據，包括發行和修訂日期，以及相關的審查日期。 回收過時或廢棄文件。 當有法律或知識（經驗、技術傳承）之需要而須保留舊文件時，應加以適當的識別。 四、程序 建立程序和支援文件（管理辦法、條文、記錄、表單等）中所涵蓋的資安管理，是依管理階層或「資訊安全委員會」的政策或指示。 程序中應該考慮包括下列內容: 擁有者 輸入 傳送之事項 關鍵活動 執行效果之衡量 資源（包括人員和責任、工具和設備） 準則（法律、法規、契約、組織政策） 記錄 程序文件之主要欄位可以需要增刪，一般使用之欄位說明如下: 目的：描述此程序的目的。 責任：描述此程序的的負責人(或職務)及其相關配合人員，及其針對此程序肩負的責任。 需求：描述針對此程序欲達到「目的」之要求及所配合的機制、設施。 程序：描述各主要活動或流程之說明。 記錄：描述此程序所需要之各種記錄（包括紙本或電子記錄）及其位置。 參考文件：描述此程序所需要之各種參考文件（包括紙本或電子文件）。 流程圖：以圖形方式顯示程序之活動流程。 附錄：為程序文件描述之必要或閱讀之方便性，及只由該程序文件參照且無因作業須要而獨立存在之必要性，可只列於附錄，以減少文件之數量。 文件一覽表控管 「文件一覽表」由文件管理員控管。所有資訊安全相關的的程序文件及支援文件（管理辦法、條文、記錄、表單等），須詳實記錄在「文件一覽表」上，其內容含： 類別：表示程序文件之種類 序號：該文件於此文件種類之編號。文件之完整識別為「類別」加上「序號」。 文件名稱：此文件之名稱 型態：此文件之型態。P表示程序文件。，C表示其仔文件，如辦法、規則等。T表示表單或記錄。 版本：此文件之修訂版本 擁有者：為文件之作業主要負責人 位置：為此文件之擺放位置，主要為「文件管理員」所保管之位置。若為表單及記錄，因實際作業之需要是由各負責人存放，並在程序中註明確實位置，而「文件一覽表」為註明空表單或記錄格式存放位置。 分類：限制等級，分為機密、限制、公開。 文件編號之編碼方式在附錄A 變更管制 一旦文件被核可及發行使用時，程序文件便受到變更管制的限制，當任何成員要求改變程序文件內容時，只有程序所有者或代表可以授權改變。 所有的變更要求必須被審查，因為要考慮在此流程或活動對其他部門的影響。 變更的記錄，由「文件管理員」保存三件。在實務上，變更的類別應該能在文件中被區別。 核可 所有文件在發佈前及更新時，應經程序所有人或代表核可，程序跨部門時，需要各部門代表簽署核可 發行 當程序文件建立或更更後，經核可及「文件管制員」登錄後，即可針對程序文件之分類原則進行限制性或公開的發行。並回收舊有版本。 五、記錄 記錄是為了提供合乎程序、法令、管理、合約或其他規定的證據。所有的程序應該訂定出適當的記錄，這些記錄應可被追蹤到流程或相關的活動，並立即可取得的。程序應該註明每個記錄的格式和內容。記錄之媒體可以是紙本或電磁記錄。存放位置和處理的授權應該被規定在程序及文件一覽表上。 六、本要點經圖資諮詢委員會議通過後實行，修正時亦同。 附錄A文件編號之編碼方式 所有被涵蓋在「交件管制程序」的程序文件及其參考文件必須有一個唯一之查詢編號，以便在資訊安全中來識別。編號方式為是“5個數字一個英文字母／2個數字”，如下所示： 12345A/78 第1、2個（12）數字為表示流程或活動類別，第3至第5個（345）數字表示在該類別中之編號，可以是一流水編號，第6個為英文字母代表文件類型，第7及8（78）表示版本狀態。任何文件之第一個正式發行的版本應該是/01，在正式發行前之草案版本以英文字母來識別。 當參考到一個記錄或互相參考到另一程序時，一般而言是不需要去包括版本狀態，除非有其它需要的原因，否則只需要提及前6碼即可。為了建立任何程序或記錄的現在版本，參考資料參照應依據「文件一覽表」。 預設編碼方式： 01 資訊安全架構的管理 02 組織和責任 03 一般程序