资讯安全管理系统矫正及预防管理程序书-基隆教育网路中心.docVIP

基隆市教育網路中心 矯正預防措施管理程序書 機密等級：文件編號：NC-KL-B-011 版 次：.3 發行日期：.12.06 修　訂　紀　錄 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 2008/01/18 王言俊 初版 1.1 2008/12/12 P1、P2 王言俊 2.適用範圍增加「發生資訊安全事件」 4.8 追蹤人定義 1.2 2010/11/05 1.封面 2.內文頁首 王言俊 修改機密等級。由限閱改為一般。 1.3 2012/12/06 P2 王言俊 5.12、5.1.3 定義執行時機 目錄 1 目的 1 2 適用範圍 1 3 權責 1 4 名詞定義 1 5 作業說明 2 6 相關文件 3 目的 針對（以下簡稱）資訊安全管理制度（ISMS）運作過程中發生之缺失及潛在之風險，採取相關的矯正及預防措施，以防止類似事件發生，進而達成持續改善之目標。 適用範圍 本中心資訊安全管理制度各項作業流程發生之缺失及潛在之風險處理事項。 權責 資訊安全委員會：負責矯正與預防措施之管理審查。 缺失權責單位：負責稽核所發現缺失資訊安全事件（含重大異常事件）或自行發現缺失之原因分析，決定優先順序與處理時限，提出矯正或預防措施並實施。 名詞定義 矯正措施：為防止不符合資訊安全管理制度實施、操作及使用之事項重複發生，所採取之措施。 預防措施：為預防不符合資訊安全管理制度實施、操作及使用之事項發生，所採取消除未來不符合事項發生原因之措施。 缺失：不符合資訊安全管理制度實施及操作事項者。依影響程度分為： 主要缺失：未執行資訊安全管理制度之要求，或多個次要缺失集中於同一控制措施者。 次要缺失：未能完全遵循資訊安全管理制度之要求，但為單一事件者。 觀察：發現可能對資訊安全管理制度造成影響的事實及事件，但未有足夠證據顯示會影響資訊安全政策及目標的達成，卻因未來可能成為缺失而需要再覆核。 建議：發現可能對資訊安全管理制度造成影響的潛在問題，可提出建議之改善措施，以預防未來發生之可能性。 潛在風險：尚未發生但未來有可能發生之不確定事件。 暫時性對策：能控制缺失的擴大或消除單一事件的影響之措施。 永久性對策：能消除缺失或潛在風險的根本原因之措施。 缺失權責單位：矯正及預防措施之實際執行單位。 作業說明 執行時機 內部及外部稽核發現缺失時，缺失權責單位需提出矯正措施，並填寫於「矯正與預防處理單」。 發生資訊安全事件，應執行矯正或預防措施，並填寫於「矯正與預防處理單」。 原因分析 防制缺失權責單位應分析問題發生之原因及影響程度，決定優先順序與處理時限。 矯正與預防措施評估 缺失權責單位提出矯正與預防措施時，得區分為暫時性對策及永久性對策，防止類似事件發生。 評估措施時須考慮成本效益及可行性。 追蹤執行狀況 矯正與預防措施之執行狀況，應由缺失權責單位依據「矯正與預防處理單」確實執行。 有關執行狀況之追蹤，由稽核組員、組長或相關權責人員負責。 追蹤人最遲應於收到「矯正與預防處理單」後7個工作天內進行首次追蹤，並應於「矯正與預防處理單」上留存追蹤軌跡。 管理審查 缺失權責單位應彙整相關矯正及預防措施之執行狀況，於管理審查會議提出報告。 相關文件 矯正與預防處理單 矯正預防措施管理程序書 文件編號 NC-KL-B-011 機密等級 版本 3