教育體系資通安全管理規(guī)范

教育醴系資通安全管理燒靶

中革民閾96年5月30日

目

壹、系彖起........................................................3

K、曾介........................................................3

#、遹用靶IS........................................................................................................3

肆、目才票期程....................................................4

伍、引用襟型....................................................4

陛'昌司於遹用性磬明(StatementofApplicability)...............................................4

柒、用管司解釋....................................................4

捌、於瓷安全管理系統(tǒng)(ISMS)建置步.驟...........................5

玖、^於資安全管理系統(tǒng)(ISMS)建置需求..........................6

附控制目檄輿控制措施.......................................7

A.5資安全政策官丁定典押估......................................8

A.6瓷安全系且^...............................................10

A.7瓷瓷崖分輿管制.........................................13

A.8人員安全管理典教育制|^.....................................15

A.9輿璟境安全.............................................18

A.10通^^作渠安全管理........................................22

A.11存取控制安全..............................................36

A.12系典雉^之安全......................................48

A.13資安全事件之反鷹及慮理..................................56

A.14棠矜永作管理..........................................58

A.15相^法規(guī)輿施行罩位政策之符合性............................60

附刪除之規(guī)靶輿控制^......................................62

2

壹'余彖起

路的快速樊展，改燮了既有的渠矜慮理模式，不罩是棠界，擘校軍位也感

受到此股新典力量，^多行政工作藉由^路輾速弗居的特性，加速了程序的

迤行，提升了整醴的效率。然而，如同其他新典崖棠、領(lǐng)域碰到的冏魅一檬，

相廉!的法令制定、控制燒靶，往往跟不上日新月昇的燮化，因此，不罩只是

羥棠界，其^^校軍位封於通用性資通安全燒靶的需求，早畤有所^。^於

矜界已系基彝展成熟的資安規(guī)靶,如CNS17799'ISPGuide73:2002、BS7799

等，此日寺此刻，正是篇各級(jí)擘校軍位量身F]■作燒靶的日寺檄，如此才能碓保各

彳固行政程序的安全性。另外，考量到擘校罩位的重要性、急迫性以及可分配

資源等因素，教育醴系最遹合迤行資通安全管理燒輪的言殳言1-典施測(cè)；所以，

本燒輪揩以教育醴系焉螯寸象，期能^^十出最遹合相H軍位施行的管理燒靶。

冢、曾介

本燒輪之制定乃禹提供教育醴系及相11罩位之管理1囹f、資渠矜人員及一

般教^人員一套有效建置典管理資安全管理系統(tǒng)（InformationSecurity

ManagementSystem,以下曾耦I(lǐng)SMS）模式；押估各罩位資安管理上的需求、

目才票、結(jié)果，加考量加入特有之作棠程序、規(guī)模、架情等因素，量身rr做出

有利於渠界所探用之ISMS燒靶。篇了^施行資安管理罩位能以花費(fèi)最低成

本、人力等資源，探漸迤的方式逐步逵成可行之規(guī)章脩款，本燒靶強(qiáng)行

度輿軌行效率，期望能符此資安燒輪及相廉1之^施^^推行到各軍位，迤而

強(qiáng)化TANet中各速校軍位的資通安全。

#、遹用靶m

本才票型遹用於教育部重算中心、部匾tg所、果系市^中心、大事院校以及高

中^^管理罩位等瓷渠矜相H罩位（或其他管理罩位熬篇J1加入ISMS

規(guī)靶靶81之部I3號(hào)），金十封「擘循亍^路系統(tǒng)」以及「行政資1K系統(tǒng)」麗大渠矜

靶嚅，引■定教育醴系所）g檄H、擘校瓷安全管理燒輪，以提升瓷安全

管理能力。有^於上述之軍位，^^是Jf級(jí)、位置、規(guī)模有著不小的差昇，

焉避免施行軍位面望寸部分燒靶窒碾轆行的IW題，本檄型揩遹用軍位分焉二

群，群系且^性篇：

一、第一群：本群遹用軍位以教育部重算中心、部Jgtg所、累系市^中心以及公

私立大事院校信十^中心及校矜行政）等篇主；本群所匾軍位之特性，遹用之

燒靶須遵彳他較高的堇度，除因規(guī)模較小或資源缺乏等限制得以樽換至第

二群外，其他不得燮更（除了原匾第二群之軍位外）。

二、第二群：本群遹用罩位以公私立高中^校（資管理罩位或因規(guī)模、資源

3

因素醇至本群者及校矜行政)焉主要封象；遹用燒靶之^^度較禹寞髭，乃

焉配合此群中所腐罩位之規(guī)模典系基費(fèi)之故，但亦可根摞自身的需求，申事往

依循第一群之舉即J。

肆、目才票期程

本燒靶的最^目檄，在於^所有教育醴系典相BS罩位，在有限的資源下，

建置最焉合遹、有效的ISMS。有^於各軍位在^管理上，受限於人

力、系壁費(fèi)等各項(xiàng)資源>加上建置ISMS遇程中須輿相^^位以及管理卜皆眉多

加^^^通；因此，各軍位在正式建置ISMS畤，建^探F皆段式迤行，以三

年篇期自行^定合理的期程目才票，逐步逵成每年度定的迤程比例，而非

耗翥內(nèi)部資源全力投入的模式；藉由如此的模式，在不謾於影轡罩位建作

的情況下，成功建置合遹的ISMS。

伍、引用才票型

本規(guī)靶主要參考ISO/IEC27001:2005(E)ISMS燒輪內(nèi)的脩款，再依撼教育

醴系輿相位的特性及需求，^I十出較焉合遹的檄津，希冀能有效提升

各軍位的資通安全程度。下列本襟型之參考文件：

?行政院及所腐各檄n瓷in安全管理燒靶。

?ISO/IEC27001:2005(E)°

?ISO/EC17799:2005瓷IM技循亍一安全技循亍一資IM安全管理之作渠要黠。

?CNS17799技循I瓷安全管理之作渠要黑占。

陛、昆司於遹用，性瞥明(StatementofApplicability)

本才票型之言殳^篇遹用於教育醴系典相!W軍位，但^於^型、蝴莫、資源、

棠矜性等因素,若本檄型列出之任何修款輾法遹用於某罩位畤，可考感

予以排除，但必須在不影警^^位提供瓷安全能力輿責(zé)任之情況下，

提出理由。在建置完^^位之ISMS彳爰，必須提出符合的遹用性磬明，其中

愿包含逗攆之控制目1票輿控制措施項(xiàng)目輿理由，以及排除脩款之內(nèi)容、理

由，作篇稽核畤的依撮。

柒、用善司解釋

?資羥(Asset)

封系且微有^值的任何事物。

[CNS_(ISO/IEC13335-1:2004)]

4

?可用性(Availability)

^授^彳固醴因鷹需求之可存取及可使用的性^。

[CNS_(ISO/IEC13335-1:2004)]

?檄密性(Confidentiality)

使瓷不可用或不揭露系合未^授才瞿之彳固人、他或遇程的性^。

[CNS_(ISO/IEC13335-1:2004)]

?瓷哥I安全(InfbrmationSecurity)

保存資的械密性、完整性及可用性。

[CNS17799:2002]

?瓷安全事件(InformationSecurityEvent)

系統(tǒng)、服矜或^路彝生一他以^別的狀熊，其指示可能的瓷安全政策

謨例或保^措施失效，或是可能輿安全相II而先前未知的狀況等。

[CNS_(ISO/IECTR18044:2004)]

?瓷安全管理系統(tǒng)(InfbrmationSecurityManagementSystem,ISMS)

整醴管理系統(tǒng)的一部分，以陂蹲向(作法)篇基碘，用以建立、W

作、建作、、塞查、雉持及改迤瓷安全。

借考：管理系統(tǒng)包括余且微架橫、政策、規(guī)費(fèi)I活勤、^矜、程序、

謾程及資源。

[CNS17800:2002]

?完整性(Integrity)

保^^崖的型硅度(Accuracy)和完全性(Completeness)的性^。

[CNS_(ISO/IECTR18044:2004)]

?閩估(RiskEvaluation)

把估^的凰除和已知的凰陂型即迤行比較的遇程，以泱定的著

性。

[CNS14889]

?遹用性瞥明(StatementofApplicability)

描述輿系且^之ISMS相HI且封其遹用之各項(xiàng)控制目檄典控制措施的已文

件化磬明。

[CNS17800:2002]

捌、IW於^^安全管理系統(tǒng)(ISMS)建置步驟

本襟型在於憤助施行軍位^^、^施、及持^改迤一完善之ISMS，其

可分:B以下黑彳固步驟：

三、ISMS之建立：依位之^型、規(guī)模、資源、渠矜性等特性，定羲ISMS

之輪Bl；考Jt相II法律、法規(guī)以及合^之要求，於遹度押估^^及鷹封措

施彳爰，rr出^由管理陪盾核準(zhǔn)之ISMS政策，加搦定一份通用性磬明害文件。

5

四、ISMS之^施典操作：施行軍位鷹碓施控制措施，以符合控管的目襟，

加軌行言口穗輿熬知^重，碓保偵測(cè)安全事件的能力，以及迅速回鷹和鷹封

慮理的畤效。

五、ISMS之盛控及塞查：施行軍位鷹金十螯寸ISMS迤行整控程序輿其他控制措

施，即畤^別資安事件的樊生、慮理J嗔序輿解決方法；定期塞查ISMS之有

效性（建^一擘年至少一次），加招相IW有^著影警之活重力輿事件言己^下來(lái)。

六、ISMS之雉持及改迤：施行罩位愿定期^行改迤活勤，探取遹常的精正典?!

防措施，加得到管理陷J皆之同意，加碓保各項(xiàng)措施逵到^期目襟。

玖、II於資安全管理系統(tǒng)（ISMS）建置需求

七、文件要求：廉!於ISMS文件化（重子槽案或紙本），必須包含安全政策、安全

目才票、ISMS|EH、遹用性磬明、瓷安事件看己^以及其他有助於提升ISMS

成效之文件；上述之文件需接受保典管制，加定期的寄查及更新，碓保

文件之最新版本；任何謾其文件需保留或^毀，愿予以遹富的^別。

八、管理［皆Jf責(zé)任：施行軍位之管理隋盾，最篇重要的是給予承^及祭的支

持，加遹度的提供資源以助ISMS程序的迤行，必要日寺塞查ISMS的控制措

施輿有效性；另外，碓保於ISMS靶g(shù)）內(nèi)之員工，具借足狗之能力及等忍知，

加定期迤行教育^^。

九、管理卜皆盾塞查：管理陷在燒副期IW內(nèi)，塞查^軍位的ISMS輿遹用靶

m，硅保其持^的遹用性、遹切性及有效性；其中鷹塞查包含燮更需求輿

改迤畤檄，加招其結(jié)果碓^文件化。

十、ISMS之改迤：ISMS的改迤是持^的，必須藉由各資安事件典塞查結(jié)果，

做出逋度的反愿輿改迤,持^系統(tǒng)之有效性；另外，封鷹的精正措施以及

防靶未然的^防措施，亦須予以制定加文件化。

上述捌、玖雨的燒靶，施行軍位必須硅^軌行，不得因任合因素而有所曾

化，甚至避免，加符其中謾程逋度文件化，留存系己^待查，如此才得由教育

部宣告施行軍位之ISMS符合本襟型規(guī)輪。

6

附金泳A

控制目才票輿控制措施

本檄^列出之控制目檄及控制措施乃參考ISO17799:2005第A.5至A.15和行

政院及所^各檄H安全管理燒靶中列出之項(xiàng)目，另加依撮教育醴系輿相廉!軍

位既有之匾性輿特盟i，保留符合各盾級(jí)軍位之項(xiàng)目。各軍位愿考量自身的需求典

特性，考感增加其他必要之控制目襟及控制措施。

相^的修款金十封其遹用封象，除一醴遹用不予主的項(xiàng)目外，符加以1￡1己敕

遹用於第一群之^明，避免是帚腐第二群之罩位於施行上的困11（但焉避免此「建

^遹用」造成瓷安威菁的挑戟，第二群罩位仍需考量^遹用第一群修款之納入必

要性）；另外，唳睡寸速^^位的「擘伸亍輛I路系統(tǒng)」及「行政資IH系統(tǒng)」，亦符注言己

1^1條款遹用的系統(tǒng)，若輾加1±的部份，焉雨套系統(tǒng)需遵守之項(xiàng)目。

7

A.5

^^安全政策房丁定典押估

所需的資安全政策，代表著管理醋JS的7夬心以及其封於軍位推重力資安全

的支持，除了制定^^安全政策以貫微致罩位上下外，不斷的押估、檢視已制定

資安政策的合遹性輿否，也是重要的部份；本章^的重黠，在於管理陷盾的魅度

表示，It不至於各項(xiàng)余田自行皆事必躬貌，然而大方金十的規(guī)副典制定，符能^所有的

員工醴熬管理者的投入，以及螯寸於罩位瓷安全重要性的了解。

IS027001

本章箭主要的內(nèi)容可參照下表：:2005(E)

A.5瓷BH安全政策rr定輿押估A.5

控制A.5.1資安全政策言丁定典押估A.5.1

目襟

A.5.1.1資安全資安全政策鷹參考資安相廉!法令及施行軍A.5.1.1

政策制定位棠矜上的需求，^^由管理醋盾核準(zhǔn)，以

逾富方式向所有員工公彳布奧宣厚，在必要畤

控

告知相^^位及合作摩商，以利共同遵守。

制

A.5.1.2^^安全面封資安事件的樊生、資安相tw法令輿其他A.5.1.2

IM

政策押估影警因素的改建畤，資安全政策愿謹(jǐn)行即

畤的押估，加定期睿查政策的可行性輿有效

，性。

(一)瓷安全政策打定輿押估(A.5.1)

1.資安全政策制定(A.5.1.1)

資安全政策愿參考資安相IW法令及施行軍位渠矜上的需求，

由管理陷盾核準(zhǔn)，以遹常方式向所有員工公彳布輿宣醇)在必要疇告

知相IW罩位及合作摩商，以利共同遵守。

施行軍位制定瓷安全政策，^^明管理隋Jf的承^及^^位管理

資安全的方法,鷹涵括下列事項(xiàng)：

(1)^^安全之定羲、整醴目檄、靶圉，及迤行^^共享日寺，其安

全械制的重要性。

(2)^^安全政策J1包含法令及契彩I封施行軍位^安全的要求典

規(guī)定。

(3)^^安全政策包含瓷安全教育及就I穗的要求。

(4)資IH安全政策愿包含棠矜永作規(guī)副之政策。

(5)員工在瓷安全上H負(fù)的一般及特定之資安全責(zé)任，包括資

8

^安全事件的通幸艮。

(6)彝生資安事件之通幸艮作渠程序、規(guī)定及^明。

(7)施行軍位資安政策及燒靶人員資安角色典責(zé)任的相n規(guī)定，m

載明於人員工作^明善或相^作渠手冊(cè)中。

(8)施行軍位員工如遑反資安相^規(guī)定，J1依系己律程序慮理。

(9)支援此一政策所需的參考文件，例如金庫(kù)寸特定資IH系統(tǒng)的辭翥

安全政策和程序或使用者J1遵守的安全規(guī)印」。

(10)資安全政策愿篇一般政策文件的一部份，若此文件曾被分送

至余且微以外的地方，必須小心敏感性文件是否外:曳。

2.瓷安全政策押估(A.5.1.2)

面封資安事件的彝生、瓷安相1W法令輿其他影警因素的改燮畤'W

安全政策鷹迤行即畤的押估，定期寄查政策的可行性輿有效性。

施行罩位愿押估瓷安全政策，涵括下列事項(xiàng)：

(1)瓷安全押估封象J1包含資in^。曲及系統(tǒng)提供者、瓷及資料

掩有者、使用者、管理者、系統(tǒng)雉^者典其他相^人員。

(2)資系統(tǒng)管理者J1配合定期(建^一擘期一次)資安押估作渠，

橫暮寸相^人員是否遵守施行軍位之資安政策、規(guī)靶輿其他規(guī)定。

(3)11定期(建^一擘期一次)檢制於平估各項(xiàng)軟、硬的安全

性，硅保其符合施行罩位的安全檄型。

(4)寄查輸入事項(xiàng)建^包括：

a.利害系方的反J?

b.客覲第三者塞查的結(jié)果

c.^防措施及改迤封策狀熊

d.前次押估的結(jié)果

e.^安全政策遵行及孰行效果

￡影警系且^管理資安全的改建，包括系且^璟境、管建事項(xiàng)、

可用資源、合的、法規(guī)及技循亍等改燮

g.威宵、弱黠的新趣勢(shì)。

h,已回幸艮的安全事件。

i.相^槿責(zé)軍位提供的建^。(例如消防軍位)

(5)安全押估可視需求委由內(nèi)部或外界寡渠人具迤行，以人工或自

勤化軟醴工具方式軌行，羥生技彼諳平估幸艮告，供日接解^分析。

塞查崖出結(jié)果建^包括下列相^的泱定及封策：

a.系且^^IK安全管理方法及程序的改善。

b.控制目襟及安控措施的改善。

c.資源及責(zé)任分配的改迤。

(6)押估己^^查。

(7)修的政策n貍得管理E皆眉的批準(zhǔn)。

9

A.6

^^安全系且微

在系且^資安政策建立完成彼，軌行系且^因鷹而生，焉的是各項(xiàng)既定政策的落

^及推勤；因此，系且微推勤資安全施行軍位愿指定遹富才瞿責(zé)之高眉主管人具

似瓷BH：R的角色），代表擘校或II位落^^BH安全的決心，:ft責(zé)推重力資BH安全^

M，召^^安曾輟、引■定耀責(zé)分匾、主簿BF估建置等相^活勤，除了解各項(xiàng)需求

外，簿借必要資源，碓保資安措施正常^作，建立起一完善、安全之璟境，降低

系且安威菁的檄率。

IS027001

本章^主要的內(nèi)容可參照下表：:2005(E)

A.6瓷安全系且^A.6

控制A.6.1資安全系且微推勤輿才瞿責(zé)A.6.1

目檄

A.6.1.1^^安全由管理陷Jt犀娜定期之資安全曾幸員，召集A.6.1.1

系且^推勤相廉!軍位代表迤行工作輿責(zé)任的分腐，碓保A.6.1.2

以及資安相十重的迤行，加展現(xiàn)管理陷盾的支A.6.1.3

之分配持。

A.6.1.2資施資慮理^^的移樽（包含新官殳倩），J1由^^A.6.1.4

使用之授主管人員迤行授才瞿、移交的程序，礎(chǔ)保^1殳

榷借彳爰^的J嗔利^作以及責(zé)任所JS。

A.6.1.3保密1條款施行軍位之員工（包含正月戰(zhàn)員工、1腺日寺雇員）A.6.1.5

控之翕U鷹筵署褐立或包含保密僚款之合^，碓保其A.8.1.3

制了解愿有之資安責(zé)任典相^限制。

項(xiàng)A.6.1.4跨軍位合扁碓保資安全作渠的J嗔利^行，需輿軌法A.6.1.6

作及憤檄!W、主管檄橫、瓷服矜摩商及重信公司

建立遹富的潢通管道。

A.6.1.5^^安全在必要畤，須向軍位內(nèi)部事棠人員或外部事A.6.1.7

^^^人員徵前、BH安全建言羲。

A.6.1.6資安全檄IW制備了之瓷安全政策，鷹迤行褐立及客A.6.1.8

政策的褐覲的押估。

立橫視

控制A.6.2施行軍位外部人具存取安全管理A.6.2

目襟

控A.6.2.1施行罩位面封外部人員存取施行軍位瓷理1殳施的A.6.2.1

10

制外部人小可能W衾，鷹前用狀況株取遹富的安全控制措A.6.2.2

IM存取之安施，加修列安全規(guī)定於正式合柒1中。A.6.2.3

全掌控

(一)瓷安全系且微推勤輿才瞿責(zé)(A.6.1)

1.瓷安全系且^推勤以及耀責(zé)之分配(A.6.L1)

由管理隋眉犀娜定期之資安全■＞幸員，召集相^^位代表迤行工作

輿責(zé)任的分腐，碓保資安相十重的迤行，加展現(xiàn)管理E皆眉的支持。

定期(建^一^期一次)召^之資BH安全曾幸助霍責(zé)愿包含：

(1)rr定瓷in安全角色輿瓷m安全管理耀責(zé)分工，賦予相^人員Ji

有之安全榷責(zé)，包含資安相^政策、i+?、措施、技循亍燒靶、

安全技衙研究、建置、押估，乃至使用管理、保^、瓷械密

、稽核等，加以善面或其他方式言己^留存。

(2)碓保安全活勤符合資IK安全政策。

(3)^^安全教育司II穗及言忍知之提昇。

(4)押估資安全事件寄查及盛視的結(jié)果，加金樣寸瓷安全事件提

出遹富的行勤方案。

2.資施使用之授^(A.6.1.2)

理^^的移醇(包含新常殳倩)，愿由耀責(zé)主管人員迤行授耀、移

交的程序，碓保^^的J嗔利建作以及責(zé)任所腐。

在資iHjm理言殳借的移醇、授耀部分，鷹碓保：

(1)在渠矜以及技循i上皆通遇木瞿責(zé)人員的安全押估，加余基主管核

準(zhǔn)，才得以授槿使用。

(2)需迤行押估以及授槿工作埸所使用值］(私)人資BHJ遢理^施，例

如：型霜月第、PDA等1殳借，避免可能造成的新弱黠。

3.保密脩款之筵1丁(A.6.L3)

施行罩位之員工(包含正殿員工、I腺日寺雇員)鷹筵署貓j立或包含保密修

款之合系勺，碓保其了解鷹有之資安責(zé)任輿相廉1限制。

有^保密修款之筵rr：

(1)施行軍位之員工雁翕署相［IS之保密合^，碓保其了解鷹有之資

安責(zé)任以及相^限制脩件。

(2)^掌人員因故有所建更日寺，可視需求重新檢視保密僚款之

遹切性。

4.跨軍位合作及^^(A.6.1.4)

篇碓保瓷安全作渠的1嗔利建行，需典軌法檄IW、主管檄情、WR

服矜摩商及重信公司建立遹富的港通管道。

在跨檄IW的合作典^^上，鷹逵到：

(1)輿資安渠矜相118視需求建立輿富的互勤管道，以即

it

日寺掩得外部的資源癌助，解泱相。

(2)在輿外部^^互勤交流日寺，J1予以遹常的限制，防止敏感性資

^遭未^授^之存取。

5.資安全SI冏(A.6.1.5)

在必要畤，須向軍位內(nèi)部惠棠人員或外部寡^^^人員徵前、

資BH安全建1羲。

在資m安全nrw及^^方面，愿考量：

(1)施行罩位資安人力、能力和系基瞬不足情況下，得以委屆青內(nèi)部事

棠人具或外界事家^者提供?1冏1^旬的服矜。

(2)蟄掠基由委^之提供冏^前服矜的事家擘者，相^軍位及人員

J1予以必要的憤助及支援。

6.瓷BH安全政策的褐立檢視(A.6.1.6)

檄IW制FT之瓷BH安全政策，鷹迤行褐立及客覲的押估。

在資安政策押估上，鷹考量：

(1)反映政府^^安全管理政策、法令、技循亍及檄^^矜之最新?tīng)?/p>

，兄，碓保資in安全之^矜作渠，遵守施行罩位的資tn安全

政策，加碓保^^安全^矜作渠的可行性及有效性。

(-)施行軍位外部人員存取安全管理(A.6.2)

1.施行軍位外部人員存取之安全掌控(A62.1)

面封外部人員存取施行軍位資理1殳施的可能凰陂，鷹視狀況探

取逾富的安全控制措施，僚列安全規(guī)定於正式合柒I中。

^於外部人員存取的安全控制措施，愿包含：

(1)押估存取凰陂，了解存取的資料^型、^值、安全措施輿影警,

加硅保典外部人員建立^^,筵言丁契^，才得以迤行存取勤作。

(2)外部人員存取之安全契的，鷹脩列資安規(guī)定、tim、必要速

脩件、各^法律責(zé)任及限制、撤金肖使用才瞿利規(guī)定等供其遵守。

(3)歐督、查核外部人員存取行焉，建立控制其遵守相^規(guī)定之械

制，必要畤做出反11加留存相18系己^。(較遹用於第一群)

12

A.7

瓷言丹瓷崖分^管制

施行罩位內(nèi)有多少資資筐?其資安全等級(jí)輿分^^何？篇碓保施行軍

位瓷羥推得遹切的保，明碓的瓷羥分^典保，符有助於資羥保管的軌行

效率，降低受危害的可能，勢(shì)必迤行撤底時(shí)崖清黑占輿分；由於艮才羥言己^在各擘

校里位已有^掌軍位，焉避免工作重疊的浪費(fèi)，可彳堇迤行禱充加強(qiáng)的部份，^充

既有的瓷BH瓷筐清軍，使其符合資安政策，降低可能的威宵及危。

IS027001

本章箭主要的內(nèi)容可參照下表：:2005(E)

A.7羥分^典管制A.7

控制A.7.1資瓷筐分^輿責(zé)任分）8A.7.1

目襟A.7.2

A.7.1.1H裂作所有資BH資羥之清冊(cè)，加定期雉、A.7.1.1

目鰥建立更新。A.7.1.2

控

A.7.1.3

制

A.7.1.2資IH安全資BH瓷羥H迤行分級(jí)輿襟示，加考量重要資A.7.2.1

等級(jí)分羥的需求，於必要畤制定保^措施及慮理流A.7.2.2

程，

（一）瓷BH瓷崖分^^責(zé)任分Jg（A.7.1）

1.資BH瓷羥目^建立（A.7.L1）

鷹裂作所有瓷瓷筐之清冊(cè),加定期雉、更新。

瓷瓷羥之清冊(cè)鷹逵到：

（1）建立一份資m瓷筐目，官丁定^崖之項(xiàng)目、挑有者及安全等

級(jí)分^等，加定期雉^典更新其內(nèi)容。

（2）瓷BH瓷筐參考JM目如下：

a.一般瓷崖：資料康及資料槽案、系統(tǒng)文件、使用者手冊(cè)、

前晴諫教材、作棠性及支援程序、棠矜永^建作^^、

作渠if重等。

b.:鷹用軟醴、系統(tǒng)軟醴、樊展工具及公用程式等。

c.:雷月第及通^言殳借、磁性媒11資料及其他技循稽殳

（1°

d.技循i服矜瓷崖：霜月窗及通信服矜、其他技淅性服移（雷源及

空翻。

（3）所有有^^in系統(tǒng)或服矜之瓷崖鷹指定事責(zé)罩位保管,其11掌

13

如下：

a.碓定瓷in及資筐逾常地分。

b.定期寄查存取限制及分

(4)有^^系統(tǒng)或服矜的瓷筐，其可接受的使用方式^^被碓

言忍，她以善面或其他方式看己^彳爰^^^行。

2.瓷BH安全等級(jí)分^(A.7.1.2)

瓷瓷羥鷹迤行分級(jí)輿才票示，加考量重要資羥的需求，於必要畤制

定保^措施及虞理流程。

資BH瓷筐分^原刖，愿包含：

(1)資1K安全之等級(jí)分^原即如下所示：

a.J1建立^安全等級(jí)之分，考量資分享及限制的

影警、未^授的系統(tǒng)存取或是系統(tǒng)損害封械Hfl渠矜的面

s。

b.in安全分,依撮閾家械密保^、霜月匐遢理他人資

料保^及政府^^公^等相^法規(guī)，符顯分焉檄密性、敏

感性及一般性等三^。

C.界司?資安等級(jí)之責(zé)任，J1由資料的原始崖生者或是由指定

的系統(tǒng)所有者負(fù)責(zé)。

d.常須孰行或參考其他罩位FT定之資安等級(jí)分^日寺，J1特別

注意其典本^^的資tn安全等級(jí)分^，在定羲及才票型上是

否相同。

(2)鷹納入安全等級(jí)分^之項(xiàng)目，包括善面幸艮告、磁性媒醴、霜子

^息及槽案資料等，加檄示遹常的安全等級(jí)以利使用者遵循。

14

A.8

人員安全管理輿教育獨(dú)豚柬

再怎麼殿密完整的政策輿控制措施，缺乏覲念正碓、司II穗有素的軌掌人員孰

行，亦是惘然。因此，施行軍位所匾相ns人員需金十封其據(jù)負(fù)的資安責(zé)任，迤行管

理輿教育司,|穗,透謾定期的^程司口穗,碓保其在殿位上能軌行各項(xiàng)相H資安措

施，降低可能的資安凰^。

IS027001

本章15主要的內(nèi)容可參照下表：:2005(E)

A.8人員安全管理輿教育司口穗A.8

控制A.8.1聘任前之虞理A.8.1

目檄

控A.8.1.1所匾角色施行軍位之具工、摩商及第三方使用者的資A.8.1.1

制輿責(zé)任^安全角色及責(zé)任鷹逾需求以害面或其他方

式清楚定羲，加輿資BK安全政策一致。

控制A.8.2聘用中之虞理A.8.2

目襟

A.8.2.1^^安全施行軍位內(nèi)所有員工、合作摩商典第三方使A.8.2.2

教育言口穗用者鷹接受逾富之資安司II穗典有H瓷安政

控

策、程序之宣厚^程。

制

A.8.2.2反規(guī)定依撮既定之修款或合系勺,遑反施行軍位之資A.8.2.3

之虞理安全政策輿程序之人員，愿予以遹常之憨

fgJ遢理。

控制A.8.3結(jié)束聘任或改建H矜A.8.3

目檄

A.8.3.1結(jié)束聘用負(fù)責(zé)孰行結(jié)束聘用或改建H矜之耀責(zé)，其HA.8.3.1

之虞理掌鷹清楚定羲加指派。

控A.8.3.2資羥繳回資崖繳回有正式的高隹F戰(zhàn)程序"骸示其已繳A.8.3.2

制回軍位資崖。

aA.8.3.3存取槿移所有員工、合^商及第三方使用者的存取耀A.8.3.3

除限鷹根操既有的燒靶或癌定迤行移除或改

燮O

(-)聘任前之虞理(A.8.1)

1.所腐角色輿責(zé)任(A81.1)

施行軍位之員工、摩商及第三方使用者的瓷安全角色及責(zé)任愿遹

15

需求以善面或其他方式清楚定羲，加輿瓷安全政策一致。

其原劇鷹包括：

(1)符合^^安全政策。

(2)保^瓷崖防止未授槿的存取、波漏、更改、破壤或干援。

(3)硅保每^行勤燒輪中，彳固人的責(zé)任。

(4)安全角色及責(zé)任鷹在聘用前即鷹明碓定羲加輿Jffi徵者清楚地潢

通(由商聘用亦同)。

(-)聘用中之慮理(A82)

1.瓷安全教育副㈱(A.8.2.1)

施行軍位內(nèi)所有員工、合作摩商輿第三方使用者愿接受遹富之資安

^^輿有^資安政策、程序之宣厚^程。

有^資安教育輿司II穗的部份：

(1)J1定期(建^一擘年至少一次)以人員角色及II能焉基磁，金十封

不同眉級(jí)人員迤行迤行瓷安全教育及^^，促使員工了解資

^安全的重要性以及各槿可能的安全凰陂，提高具工資安意

，加遵守資安規(guī)定。

(2)施行罩位同意及授槿使用者存取系統(tǒng)前，J1教簿使用者登入系

統(tǒng)之程序，以及如何正硅地操作及使用軟醴及遑?zé)龖]理。

(3)非施行軍位所匾員工之相^人員，J1硅保其封資安政策、相H

控制及程序有一定的了解，加清楚其資安責(zé)任。

2.謨反規(guī)定之虞理(A82.2)

依操既定之修款或合系勺，謨反施行軍位之資安全政策輿程序之人

M，愿予以遹常之憨卻慮理。

(三)結(jié)束聘任或改(A83)

1.結(jié)束聘用之虞理(A.8.3.1)

負(fù)責(zé)孰行結(jié)束聘用或改燮^矜之才瞿責(zé)，其^掌鷹清楚定羲加指派。

11於結(jié)束聘任接或改，m:

(1)視需求在合的中載明結(jié)束聘用彳爰其責(zé)任及羲矜仍然有效的規(guī)

定。

(2)人員已雕殿或^^，愿通知相(W具工、合的商及第三方使用者。

2.W>M0(A.8.3.2)

資羥繳回鷹有正式的^^程序示其已繳回軍位資羥。

資筐的繳回H:

(1)包括所褻給的軟醴、罩位文件、及官殳借。其它軍位的瓷筐；例

如行勤建算^^、信用卡、智慧卡、手冊(cè)及其它必須繳回的重

子媒醴。

(2)若使用自有的言殳借慮理資，鷹有正常程序以硅保相1H已

16

傅移至軍位，加安全的彳是1殳借中移除。

(3)罌寸罩位持^操作的重要知it或^^，迤行移傅或系己^。

3.存取耀移除(A.8.3.3)

所有員工、合系勺商及第三方使用者的存取^限鷹根撼既有的燒靶或

癌定迤行移除或改建。

移除或改燮的存取耀限鷹：

(1)包括及邂輯存取、輸匙、另嗝登、^理言殳施及任何可

以^示其篇軍位成員的文件。

(2)在結(jié)束聘用或改燮殿矜之前，押估瓷瓷筐及^^^理言殳借的

存取槿被降低或是移除。

(3)若存取槿限焉多人共用，例如群余且幔號(hào)虎，即其槿限J1予移除，

加通知相Hfl人員不再典雕殿人員分享^^IH。

17

A.9

輿璟境安全

禹保^^遢理^施以及所在位置的安全，除璟境的管制保^措施外，軟硬

醴的防^措施也需撤底^行，以有效降低資安事件褻生的檄率。造部份篇各項(xiàng)資

的基磁，再殿密的慮理程序及燒靶，缺少^醴及璟境的安全落^，仍

營(yíng)瓢法逵到保的目的，因此，此部分管理措施的落^典否，各項(xiàng)迤一步控

管制度的基石。

IS027001

本章箭主要的內(nèi)容可參照下表：:2005(E)

A.9輿琪境安全A.9

控制A.9.1IS域之安全A.9.1

目襟

A.9.1.1^修8境施行罩位H探用逾富防^措施保障^^^理A.9.1.1

安全官殳施所在展域（檄房言殳借、人具辨公國(guó)域）的安

全。

控

A.9.1.2人員謹(jǐn)出施行軍位施控制措施，硅保只有授^人A.9.1.2

制

控制員可以迤出安全1S域。

項(xiàng)

A.9.1.3資理在瓷遢理^施所在11域工作，愿探取遹富A9.1.3

施安全的控制措施輿指引，碓保域的安全性。A9.1.4

A9.1.5

控制A.9.2言殳借之安全A.9.2

目檄

控A.9.2.1臺(tái)殳借安置施行軍位愿安置或保i殳借，降低璟境之威A.9.2.1

制地黑占之保耆、炎害以及未授^存取所造成的可能損失。

項(xiàng)^措施

A.9.2.2重源供愿施行11位11保^^虞理^降低重力故A.9.2.2

障或昊常的影。

A.9.2.3霞窿^安施行軍位鷹保通昌用1務(wù)泉及資遢理^^之A.9.2.3

全防^重源，降低受藕11或破壤的可能損失。

—較遹用於第一群

A.9.2.4官殳借之^資BHja理^借愿予以遹常的系隹^，硅保其持A.9.2.4

勵(lì)1作。

A.9.2.5言殳借幸員屢資理1殳借在甄座或再使用的謾程中，mA.9.2.6

典再使用避免內(nèi)存資料的外q曳，迤行必要之清除勤作。

18

A.9.2.6防未^施行罩位所JS之^借、或軟醴未^授A.9.2.7

授耀之移禁止移重力。

勃

(-)IS域之安全(A91)

1.璟境安全(A.9.L1)

施行軍位愿探用遹常防^措施保障資理1殳施所在展域(檄房1殳

倩、人員辨公顯域)的安全。

理言殳施所在展域之安全，m:

(1)以事前副定的各項(xiàng)遇遏官殳施禹基磁，含殳置必要的管制，逵成安

全控管的目的。

(2)依資資筐及服矜系統(tǒng)的^值及安全J虱陂，泱定保^的程

度。

2.人員迤出控制(A91.2)

施行軍位^^施控制措施,碓保只有授才瞿人具可以迤出安全I(xiàn)I域。

IW於人員迤出安全國(guó)域的管制,鷹硅保：

(1)有遹富的迤出管制保^措施，使輾授槿的人員不得迤入。

(2)人員迤入管制IEJ1予逋常管制，加系已^迤出日寺；^^人

員只有在特定的目的或是被授^情形下，才能迤入管制癌。(敕

遹用於第一群)

(3)，J1立即撤^迤入管制國(guó)的榷利。

3.瓷理^施安全(A.9.L3)

在瓷慮理^施所在顯域工作，愿探取遹常的控制措施輿指引，硅

保^顯域的安全性。

篇碓保展域之安全性，探取的控制措施典指引愿包含：

(1)資遢理^施所在國(guó)域鷹官殳立良好的^醴安全措施，考量各槿

自然及人焉炎害的可能性，考量郝近空^的可能安全威耆。(敕

逾用於第一群)

(2)^^^理言殳施J1遽蹄大聚或是公共^^系統(tǒng)可直接迤出的地

黠。(較逾用於第一群)

(3)^^^理言殳施J1儒可能不要有遇於明^的本票示；在建篥物內(nèi)部

及外部的^明，儒可能不要有謾於明^的指引或配置^明。

(4)危陂性及易燃性物品J1遽雕理言殳施的安全地黠；非有必

要，霜月第相^文具備殳借不鷹存放在重月畿械房?jī)?nèi)。

(5)借援作渠用的直殳借及借援媒醴，J1存放在安全距雕以外的地

黠。(較逾用於第一群)

(6)J1安裝遹常的安全偵測(cè)及防制祿殳借，各^安全官殳借J1依摩商的

使用^明善定期檢查，加劍噬寸相BI員工迤行遹富的安全^使

19

用穗。倬交遹用於第一群)

(7)1殳借安全聚急慮理作渠程序愿以善面方式^載，加定期(建^一

阜期一次)演穗及測(cè)就。(較遹用於第一群)

(-)1殳借之安全(A.9.2)

1.^^安置地黑占之保^措施(A.9.2.1)

施行軍位鷹安置或保，降低璟境之威宵、炎害以及未授^存

取所造成的可能損失。

^安置須遵循下列之原即：

(1)言殳倩鷹翥量安置在可減少人員不必要^常迤出的工作地黠。M

理械密性及敏感性資料的工作站，雁放置在員工可以注意及照

II的地方。

(2)需要特別保^的官殳倩，J1考量輿一般^^國(guó)隔，安置在褐立的

11域。倬交遹用於第一群)

(3)J1檢查及押估火袋、理、火、灰廛、震勤、化擘效鷹、重力供

J1、雷磁幅射等可能的凰陂。俾交遹用於第一群)

(4)重月酊乍渠顯鷹禁止抽菸及欺用食物。

2.雷源供鷹(A.9.2.2)

施行軍位鷹保^^遢理^^，降低重力故障或巽常的影轡。

有ss於瓷理1殳借重源供鷹＞m:

(1)防止斷雷或其他重力不正常蹲致的^害；雷源供鷹鷹依獴裝造

商提供的規(guī)格言殳置。

(2)鷹考量安置借重源，加考量使用不斷重系統(tǒng)。

(3)揩不斷重系統(tǒng)失效之彳爰的J1燮措施納入資安事件聚急慮理JB建

§+?;不斷重系統(tǒng)鷹依獴裂造摩商的建^，定期迤行混居式。

(4)鷹福堇慎使用雷源延;，以免重力輾法負(fù)荷醇致火袋等安全情

事。

3.^^小泉安全防^(A.9.2.3)—申交遹用於第一群

施行單位鷹保^通及瓷遢理^^之重源，降低受藕II或破