南开科技大学资讯安全绩效规范-南开科技大学图书资讯服务处.pdfVIP

文件編號：PE(第 1.0版 ) 南開科技大學資訊安全績效評估規範 壹、目的 南開科技大學( 以下簡稱本校)為評估本校實施資訊安全管理系統是否依據目標、規劃、 實作以及維持系統運作，依據 ISO 27001:2013資訊安全管理系統的績效評估方式制定 「南開科技大學資訊安全績效評估規範」( 以下簡稱本規範) 。 貳、依據 一、南開科技大學資訊安全政策。 二、國際資訊安全標準2013 年版(ISO/IEC 27001:2013) 。 三、國際資訊安全作業規範2013 年版(ISO/IEC 27002:2013) 。 參、規範要項 一、目標值量測 二、資訊安全稽核 三、管理審查 以上項目所制定內容，參照規範項目表列於附件。 肆、目標值量測 依據 ISO 27001:2013資訊安全管理系統所規範之目標，規範資訊安全管理系統範圍進 行量測，每季相關單位應對各項目標進行統計簽報，以確認目標的達成情形，本校資訊 安全管理系統目標如下列： 一、實體入侵成功事件：一年不超過3 次。 二、網路入侵成功事件：包括駭客攻擊、木馬或病毒感染等一年不超過5 次。 三、作業系統未授權變更事件：一年不超過5 次。 四、主機/網路設備異常故障事件：逾 8個工作小時的事件一年不超過 10 次。 五、弱點修補缺失：無特殊原因之高風險弱點未修補事件每半年不超過5件。 六、資訊機房的電力異常中斷或空調系統異常故障：逾4個工作小時未復歸的事件一年 不超過3 次。 七、網路每月的可用率達97%(含 ) 以上。 八、未經授權提供個人或資訊資產機密級數4 以上資料予其他單位或個人次數為0 。 九、風險處理計畫列為量測之項目。 十、矯正措施後續列為量測之項目。 伍、資訊安全稽核 一、本校圖書資訊服務處每年至少實施一次內部控制稽核並實施一次資訊安全外部稽 核。 二、內部控制稽核作業如「南開科技大學資訊安全管理系統稽核辦法」，由內部控制稽 核小組規劃執行。 1 103 年12月 4日發行 文件編號：PE(第 1.0版 ) 三、資訊安全外部稽核邀請有公信力的第三方進行。 四、辦理內外部稽核前，應審慎規劃稽核活動中運作系統與稽核工具保護措施，俟稽核 計畫核定後方可著手稽核。 五、稽核的結果及工具應有適當保護措施。 陸、管理審查 資訊安全管理系統的執行結果，每年至少實施一次資訊安全管理委員會考核，以確保資 訊安全管理系統的適用性 (Suitability) 、充足(Adequacy)和有效性(Effectiveness) ，同時評 估改進資訊安全管理系統的機會。 一、管理審查項目至少包括： (一資訊安全政策) (二關注方要求目標之達成) (三風險評鑑報告) (四風險處理計畫) (五營運持續計畫及演練報告) (六)適用性聲明(SOA) (七資安事件處理報告) (八稽核報告) 九( 資源需求評量計畫) (十)相關程序或活動執行紀錄 二、管理審查的重點： (一審查各項程序和控制措施的執行成效，主要目標如下：) 1.快速發現資訊安全管理程序和控制措施的瑕疵。 2.快速並有效的鑑別資安事件。 3.資訊安全活動的實施成效是否符合期望。 4.資安活動的