资讯安全管理手册-内政部国土测绘中心.doc

內政部國土測繪中心 資訊安全政策文件 文件編號： 版次： .3 文件日期： 3年10月24日 普通 文件制/修訂 制/修訂 版次 制/修訂 日期 制/修訂 說明 作 者 備 註 1.0 961初版發行 ISMS工作小組 971014 增列「角色及責任」、「人員審查」、「考核獎懲」及「資訊安全教育訓練」等事項對應程序文件之說明並配合ISO 17799及CNS 17799之廢止與ISO 27002及CNS27002之訂頒，修正依據標準。 ISMS工作小組 980213 依據程序文件名稱變更修訂。 ISMS工作小組 ISMS工作小組 1031024 前言，增加考量組織全景內容。 修正二~四階程序文件之核定，依100年11月8日簽奉核可知授權人員核定。 蔡汶諭 目　　錄 ISMS政策與目標 1 一、 前言 1 二、 ISMS政策 2 三、 ISMS目標 2 四、 適用範圍 2 五、 依據標準 3 貳、 資訊安全管理系統(ISMS) 4 一、 一般要求 4 二、 ISMS之建立與管理 5 三、 ISMS文件架構 7 參、 ISMS內部稽核 9 肆、 ISMS之改進 9 伍、 ISMS文件之制定 10 ISMS政策與目標 前言 內政部國土測繪中心(以下簡稱本中心)致力於辦理國家基礎測繪工作，建立全國性測繪成果，以提供各界之參考應用，並配合e化世紀的生活，提供迅速、便捷、精確的服務，型塑優質的測繪服務品質，深獲社會大眾之好評與信賴。 有鑑於資訊科技之快速發展，各項服務及日常運作日益仰賴資訊系統提供服務，如何確保資訊安全已成為當今重要之議題，因此本中心除已於92年12月23日發布「資訊安全政策」，希望全體同仁共同遵循外，為強化資訊系統核心之電腦機房安全管理及持續維運，特針對本中心「電腦機房」訂定本資訊安全管理系統(以下簡稱本系統或ISMS)政策與目標，並建立系統與紀律化之流程制度，提供各相關單位之作業依據，以提昇資訊安全管理與應變能力。內政部國土測繪中心「資訊安全政策文件」(以下簡稱本政策文件)說明本中心資訊安全管理系統之整體概觀，以提供社會大眾及同仁對本中心整體資訊安全管理制度之瞭解。 ISMS政策 確保本中心「電腦機房」設備及網路安全，以避免當發生人為疏失、蓄意破壞或自然災害時，遭致資產不當使用、洩漏、竄改、毀損、遺失等情事，影響本中心作業或損及民眾權益。 ISMS目標 目標 通過並維持ISO27001驗證。 確保本中心「電腦機房」之網路因意外或錯誤造成無法使用於次 確保本中心「電腦機房」有1。 目標的執行 本中心相關單位主管應督導部屬達成本中心「電腦機房」ISMS目標。 目標的達成 由本中心資訊安全管理系統工作小組針對ISMS目標每年達成情況進行評估，並陳報本中心資訊安全推行小組。 適用範圍 適用於本中心「電腦機房」之網路設備(如核心交換器、路由器、交換器及光纖配接盒)、網路基礎設施(如防火牆、DNS伺服器、防毒閘道伺服器及個人電腦防毒伺服器)、環境控制設備、機房空間及實體基礎設施(如UPS、機櫃、空調系統、消防設備等)及應用系統與資料庫之日常維運與變更申請作業不應用系統開發及維護作業。 本中心「電腦機房」指位於5樓及地籍資料庫4樓之電腦機房，涵蓋二機房之設備及網路安全，兩機房位置於： 機房(至善樓5樓) 地址：台中市南屯區黎明路二段497號5樓 地籍資料庫機房地籍資料庫4樓 地址：台中市南屯區博愛街80巷51號4樓 執行ISMS有關之人員(包含外部服務廠商) 至善樓5樓之測繪資訊課、控制測量課。 地籍資料庫4樓之測繪資訊課。 依據標準 本中心ISMS係依據以下標準制定： 本中心資訊安全政策 國家標準：CNS27001/ CNS 國際標準：ISO27001/ ISO 相關法規： 行政院及所屬各機關資訊安全管理要點。 行政院及所屬各機關資訊安全管理規範。 資訊安全管理系統(ISMS) ISMS係依據ISO27001/CNS27001標準要求事項第4節至第8節之各項要求來進行管理系統之建立、實作、運作、監視、審查、維持與改進，詳述於後。 一般要求 本中心依據整體營運活動與所面臨的風險，建立、實作、運作、監視、審查、維持與改進ISMS。ISMS採用之過程如下圖2-1所示之PDCA(Plan, Do, Check, Act)模型為基礎。 圖2-1：ISMS持續改善之PDCA模型 ISMS之建立與管理 為統籌本中心資訊安全相關業務之整體規劃、評估、督導、協調、推動及資安事故處理等事項，特設置跨單位之「資訊安全推行