教育体系资通安全管理规范

教育醴系资通安全管理烧靶

中革民阈96年5月30日

目

壹、系彖起........................................................3

K、曾介........................................................3

#、遹用靶IS........................................................................................................3

肆、目才票期程....................................................4

伍、引用襟型....................................................4

陛'昌司於遹用性磬明(StatementofApplicability)...............................................4

柒、用管司解释....................................................4

捌、於瓷安全管理系统(ISMS)建置步.骤...........................5

玖、^於资安全管理系统(ISMS)建置需求..........................6

附控制目檄舆控制措施.......................................7

A.5资安全政策官丁定典押估......................................8

A.6瓷安全系且^...............................................10

A.7瓷瓷崖分舆管制.........................................13

A.8人员安全管理典教育制|^.....................................15

A.9舆璟境安全.............................................18

A.10通^^作渠安全管理........................................22

A.11存取控制安全..............................................36

A.12系典雉^之安全......................................48

A.13资安全事件之反鹰及虑理..................................56

A.14棠矜永作管理..........................................58

A.15相^法规舆施行罩位政策之符合性............................60

附删除之规靶舆控制^......................................62

2

壹'余彖起

路的快速樊展，改燮了既有的渠矜虑理模式，不罩是棠界，擘校军位也感

受到此股新典力量，^多行政工作藉由^路辗速弗居的特性，加速了程序的

迤行，提升了整醴的效率。然而，如同其他新典崖棠、领域碰到的冏魅一檬，

相廉!的法令制定、控制烧靶，往往跟不上日新月昇的燮化，因此，不罩只是

羟棠界，其^^校军位封於通用性资通安全烧靶的需求，早畤有所^。^於

矜界已系基彝展成熟的资安规靶,如CNS17799'ISPGuide73:2002、BS7799

等，此日寺此刻，正是篇各级擘校军位量身F]■作烧靶的日寺檄，如此才能碓保各

彳固行政程序的安全性。另外，考量到擘校罩位的重要性、急迫性以及可分配

资源等因素，教育醴系最遹合迤行资通安全管理烧轮的言殳言1-典施测；所以，

本烧轮揩以教育醴系焉螯寸象，期能^^十出最遹合相H军位施行的管理烧靶。

冢、曾介

本烧轮之制定乃禹提供教育醴系及相11罩位之管理1囹f、资渠矜人员及一

般教^人员一套有效建置典管理资安全管理系统（InformationSecurity

ManagementSystem,以下曾耦ISMS）模式；押估各罩位资安管理上的需求、

目才票、结果，加考量加入特有之作棠程序、规模、架情等因素，量身rr做出

有利於渠界所探用之ISMS烧靶。篇了^施行资安管理罩位能以花费最低成

本、人力等资源，探渐迤的方式逐步逵成可行之规章脩款，本烧靶强行

度舆轨行效率，期望能符此资安烧轮及相廉1之^施^^推行到各军位，迤而

强化TANet中各速校军位的资通安全。

#、遹用靶m

本才票型遹用於教育部重算中心、部匾tg所、果系市^中心、大事院校以及高

中^^管理罩位等瓷渠矜相H罩位（或其他管理罩位熬篇J1加入ISMS

规靶靶81之部I3号），金十封「擘循亍^路系统」以及「行政资1K系统」丽大渠矜

靶嚅，引■定教育醴系所）g檄H、擘校瓷安全管理烧轮，以提升瓷安全

管理能力。有^於上述之军位，^^是Jf级、位置、规模有著不小的差昇，

焉避免施行军位面望寸部分烧靶窒碾辘行的IW题，本檄型揩遹用军位分焉二

群，群系且^性篇：

一、第一群：本群遹用军位以教育部重算中心、部Jgtg所、累系市^中心以及公

私立大事院校信十^中心及校矜行政）等篇主；本群所匾军位之特性，遹用之

烧靶须遵彳他较高的堇度，除因规模较小或资源缺乏等限制得以樽换至第

二群外，其他不得燮更（除了原匾第二群之军位外）。

二、第二群：本群遹用罩位以公私立高中^校（资管理罩位或因规模、资源

3

因素醇至本群者及校矜行政)焉主要封象；遹用烧靶之^^度较禹寞髭，乃

焉配合此群中所腐罩位之规模典系基费之故，但亦可根摞自身的需求，申事往

依循第一群之举即J。

肆、目才票期程

本烧靶的最^目檄，在於^所有教育醴系典相BS罩位，在有限的资源下，

建置最焉合遹、有效的ISMS。有^於各军位在^管理上，受限於人

力、系壁费等各项资源>加上建置ISMS遇程中须舆相^^位以及管理卜皆眉多

加^^^通；因此，各军位在正式建置ISMS畤，建^探F皆段式迤行，以三

年篇期自行^定合理的期程目才票，逐步逵成每年度定的迤程比例，而非

耗翥内部资源全力投入的模式；藉由如此的模式，在不谩於影辔罩位建作

的情况下，成功建置合遹的ISMS。

伍、引用才票型

本规靶主要参考ISO/IEC27001:2005(E)ISMS烧轮内的脩款，再依撼教育

醴系舆相位的特性及需求，^I十出较焉合遹的檄津，希冀能有效提升

各军位的资通安全程度。下列本襟型之参考文件：

•行政院及所腐各檄n瓷in安全管理烧靶。

•ISO/IEC27001:2005(E)°

•ISO/EC17799:2005瓷IM技循亍一安全技循亍一资IM安全管理之作渠要黠。

•CNS17799技循I瓷安全管理之作渠要黑占。

陛、昆司於遹用，性瞥明(StatementofApplicability)

本才票型之言殳^篇遹用於教育醴系典相!W军位，但^於^型、蝴莫、资源、

棠矜性等因素,若本檄型列出之任何修款辗法遹用於某罩位畤，可考感

予以排除，但必须在不影警^^位提供瓷安全能力舆责任之情况下，

提出理由。在建置完^^位之ISMS彳爰，必须提出符合的遹用性磬明，其中

愿包含逗撵之控制目1票舆控制措施项目舆理由，以及排除脩款之内容、理

由，作篇稽核畤的依撮。

柒、用善司解释

•资羟(Asset)

封系且微有^值的任何事物。

[CNS_(ISO/IEC13335-1:2004)]

4

•可用性(Availability)

^授^彳固醴因鹰需求之可存取及可使用的性^。

[CNS_(ISO/IEC13335-1:2004)]

•檄密性(Confidentiality)

使瓷不可用或不揭露系合未^授才瞿之彳固人、他或遇程的性^。

[CNS_(ISO/IEC13335-1:2004)]

•瓷哥I安全(InfbrmationSecurity)

保存资的械密性、完整性及可用性。

[CNS17799:2002]

•瓷安全事件(InformationSecurityEvent)

系统、服矜或^路彝生一他以^别的状熊，其指示可能的瓷安全政策

谟例或保^措施失效，或是可能舆安全相II而先前未知的状况等。

[CNS_(ISO/IECTR18044:2004)]

•瓷安全管理系统(InfbrmationSecurityManagementSystem,ISMS)

整醴管理系统的一部分，以陂蹲向(作法)篇基碘，用以建立、W

作、建作、、塞查、雉持及改迤瓷安全。

借考：管理系统包括余且微架横、政策、规费I活勤、^矜、程序、

谩程及资源。

[CNS17800:2002]

•完整性(Integrity)

保^^崖的型硅度(Accuracy)和完全性(Completeness)的性^。

[CNS_(ISO/IECTR18044:2004)]

•闽估(RiskEvaluation)

把估^的凰除和已知的凰陂型即迤行比较的遇程，以泱定的著

性。

[CNS14889]

•遹用性瞥明(StatementofApplicability)

描述舆系且^之ISMS相HI且封其遹用之各项控制目檄典控制措施的已文

件化磬明。

[CNS17800:2002]

捌、IW於^^安全管理系统(ISMS)建置步骤

本襟型在於愤助施行军位^^、^施、及持^改迤一完善之ISMS，其

可分:B以下黑彳固步骤：

三、ISMS之建立：依位之^型、规模、资源、渠矜性等特性，定羲ISMS

之轮Bl；考Jt相II法律、法规以及合^之要求，於遹度押估^^及鹰封措

施彳爰，rr出^由管理陪盾核准之ISMS政策，加搦定一份通用性磬明害文件。

5

四、ISMS之^施典操作：施行军位鹰碓施控制措施，以符合控管的目襟，

加轨行言口穗舆熬知^重，碓保侦测安全事件的能力，以及迅速回鹰和鹰封

虑理的畤效。

五、ISMS之盛控及塞查：施行军位鹰金十螯寸ISMS迤行整控程序舆其他控制措

施，即畤^别资安事件的樊生、虑理J嗔序舆解决方法；定期塞查ISMS之有

效性（建^一擘年至少一次），加招相IW有^著影警之活重力舆事件言己^下来。

六、ISMS之雉持及改迤：施行罩位愿定期^行改迤活勤，探取遹常的精正典?!

防措施，加得到管理陷J皆之同意，加碓保各项措施逵到^期目襟。

玖、II於资安全管理系统（ISMS）建置需求

七、文件要求：廉!於ISMS文件化（重子槽案或纸本），必须包含安全政策、安全

目才票、ISMS|EH、遹用性磬明、瓷安事件看己^以及其他有助於提升ISMS

成效之文件；上述之文件需接受保典管制，加定期的寄查及更新，碓保

文件之最新版本；任何谩其文件需保留或^毁，愿予以遹富的^别。

八、管理［皆Jf责任：施行军位之管理隋盾，最篇重要的是给予承^及祭的支

持，加遹度的提供资源以助ISMS程序的迤行，必要日寺塞查ISMS的控制措

施舆有效性；另外，碓保於ISMS靶g）内之员工，具借足狗之能力及等忍知，

加定期迤行教育^^。

九、管理卜皆盾塞查：管理陷在烧副期IW内，塞查^军位的ISMS舆遹用靶

m，硅保其持^的遹用性、遹切性及有效性；其中鹰塞查包含燮更需求舆

改迤畤檄，加招其结果碓^文件化。

十、ISMS之改迤：ISMS的改迤是持^的，必须藉由各资安事件典塞查结果，

做出逋度的反愿舆改迤,持^系统之有效性；另外，封鹰的精正措施以及

防靶未然的^防措施，亦须予以制定加文件化。

上述捌、玖雨的烧靶，施行军位必须硅^轨行，不得因任合因素而有所曾

化，甚至避免，加符其中谩程逋度文件化，留存系己^待查，如此才得由教育

部宣告施行军位之ISMS符合本襟型规轮。

6

附金泳A

控制目才票舆控制措施

本檄^列出之控制目檄及控制措施乃参考ISO17799:2005第A.5至A.15和行

政院及所^各檄H安全管理烧靶中列出之项目，另加依撮教育醴系舆相廉!军

位既有之匾性舆特盟i，保留符合各盾级军位之项目。各军位愿考量自身的需求典

特性，考感增加其他必要之控制目襟及控制措施。

相^的修款金十封其遹用封象，除一醴遹用不予主的项目外，符加以1£1己敕

遹用於第一群之^明，避免是帚腐第二群之罩位於施行上的困11（但焉避免此「建

^遹用」造成瓷安威菁的挑戟，第二群罩位仍需考量^遹用第一群修款之纳入必

要性）；另外，唳睡寸速^^位的「擘伸亍辆I路系统」及「行政资IH系统」，亦符注言己

1^1条款遹用的系统，若辗加1±的部份，焉雨套系统需遵守之项目。

7

A.5

^^安全政策房丁定典押估

所需的资安全政策，代表著管理醋JS的7夬心以及其封於军位推重力资安全

的支持，除了制定^^安全政策以贯微致罩位上下外，不断的押估、检视已制定

资安政策的合遹性舆否，也是重要的部份；本章^的重黠，在於管理陷盾的魅度

表示，It不至於各项余田自行皆事必躬貌，然而大方金十的规副典制定，符能^所有的

员工醴熬管理者的投入，以及螯寸於罩位瓷安全重要性的了解。

IS027001

本章箭主要的内容可参照下表：:2005(E)

A.5瓷BH安全政策rr定舆押估A.5

控制A.5.1资安全政策言丁定典押估A.5.1

目襟

A.5.1.1资安全资安全政策鹰参考资安相廉!法令及施行军A.5.1.1

政策制定位棠矜上的需求，^^由管理醋盾核准，以

逾富方式向所有员工公彳布奥宣厚，在必要畤

控

告知相^^位及合作摩商，以利共同遵守。

制

A.5.1.2^^安全面封资安事件的樊生、资安相tw法令舆其他A.5.1.2

IM

政策押估影警因素的改建畤，资安全政策愿谨行即

畤的押估，加定期睿查政策的可行性舆有效

，性。

(一)瓷安全政策打定舆押估(A.5.1)

1.资安全政策制定(A.5.1.1)

资安全政策愿参考资安相IW法令及施行军位渠矜上的需求，

由管理陷盾核准，以遹常方式向所有员工公彳布舆宣醇)在必要畴告

知相IW罩位及合作摩商，以利共同遵守。

施行军位制定瓷安全政策，^^明管理隋Jf的承^及^^位管理

资安全的方法,鹰涵括下列事项：

(1)^^安全之定羲、整醴目檄、靶圉，及迤行^^共享日寺，其安

全械制的重要性。

(2)^^安全政策J1包含法令及契彩I封施行军位^安全的要求典

规定。

(3)^^安全政策包含瓷安全教育及就I穗的要求。

(4)资IH安全政策愿包含棠矜永作规副之政策。

(5)员工在瓷安全上H负的一般及特定之资安全责任，包括资

8

^安全事件的通幸艮。

(6)彝生资安事件之通幸艮作渠程序、规定及^明。

(7)施行军位资安政策及烧靶人员资安角色典责任的相n规定，m

载明於人员工作^明善或相^作渠手册中。

(8)施行军位员工如遑反资安相^规定，J1依系己律程序虑理。

(9)支援此一政策所需的参考文件，例如金库寸特定资IH系统的辞翥

安全政策和程序或使用者J1遵守的安全规印」。

(10)资安全政策愿篇一般政策文件的一部份，若此文件曾被分送

至余且微以外的地方，必须小心敏感性文件是否外:曳。

2.瓷安全政策押估(A.5.1.2)

面封资安事件的彝生、瓷安相1W法令舆其他影警因素的改燮畤'W

安全政策鹰迤行即畤的押估，定期寄查政策的可行性舆有效性。

施行罩位愿押估瓷安全政策，涵括下列事项：

(1)瓷安全押估封象J1包含资in^。曲及系统提供者、瓷及资料

掩有者、使用者、管理者、系统雉^者典其他相^人员。

(2)资系统管理者J1配合定期(建^一擘期一次)资安押估作渠，

横暮寸相^人员是否遵守施行军位之资安政策、规靶舆其他规定。

(3)11定期(建^一擘期一次)检制於平估各项软、硬的安全

性，硅保其符合施行罩位的安全檄型。

(4)寄查输入事项建^包括：

a.利害系方的反J®

b.客觐第三者塞查的结果

c.^防措施及改迤封策状熊

d.前次押估的结果

e.^安全政策遵行及孰行效果

£影警系且^管理资安全的改建，包括系且^璟境、管建事项、

可用资源、合的、法规及技循亍等改燮

g.威宵、弱黠的新趣势。

h,已回幸艮的安全事件。

i.相^槿责军位提供的建^。(例如消防军位)

(5)安全押估可视需求委由内部或外界寡渠人具迤行，以人工或自

勤化软醴工具方式轨行，羟生技彼谙平估幸艮告，供日接解^分析。

塞查崖出结果建^包括下列相^的泱定及封策：

a.系且^^IK安全管理方法及程序的改善。

b.控制目襟及安控措施的改善。

c.资源及责任分配的改迤。

(6)押估己^^查。

(7)修的政策n狸得管理E皆眉的批准。

9

A.6

^^安全系且微

在系且^资安政策建立完成彼，轨行系且^因鹰而生，焉的是各项既定政策的落

^及推勤；因此，系且微推勤资安全施行军位愿指定遹富才瞿责之高眉主管人具

似瓷BH：R的角色），代表擘校或II位落^^BH安全的决心，:ft责推重力资BH安全^

M，召^^安曾辍、引■定耀责分匾、主簿BF估建置等相^活勤，除了解各项需求

外，簿借必要资源，碓保资安措施正常^作，建立起一完善、安全之璟境，降低

系且安威菁的檄率。

IS027001

本章^主要的内容可参照下表：:2005(E)

A.6瓷安全系且^A.6

控制A.6.1资安全系且微推勤舆才瞿责A.6.1

目檄

A.6.1.1^^安全由管理陷Jt犀娜定期之资安全曾幸员，召集A.6.1.1

系且^推勤相廉!军位代表迤行工作舆责任的分腐，碓保A.6.1.2

以及资安相十重的迤行，加展现管理陷盾的支A.6.1.3

之分配持。

A.6.1.2资施资虑理^^的移樽（包含新官殳倩），J1由^^A.6.1.4

使用之授主管人员迤行授才瞿、移交的程序，础保^1殳

榷借彳爰^的J嗔利^作以及责任所JS。

A.6.1.3保密1条款施行军位之员工（包含正月战员工、1腺日寺雇员）A.6.1.5

控之翕U鹰筵署褐立或包含保密僚款之合^，碓保其A.8.1.3

制了解愿有之资安责任典相^限制。

项A.6.1.4跨军位合扁碓保资安全作渠的J嗔利^行，需舆轨法A.6.1.6

作及愤檄!W、主管檄横、瓷服矜摩商及重信公司

建立遹富的潢通管道。

A.6.1.5^^安全在必要畤，须向军位内部事棠人员或外部事A.6.1.7

^^^人员徵前、BH安全建言羲。

A.6.1.6资安全檄IW制备了之瓷安全政策，鹰迤行褐立及客A.6.1.8

政策的褐觐的押估。

立横视

控制A.6.2施行军位外部人具存取安全管理A.6.2

目襟

控A.6.2.1施行罩位面封外部人员存取施行军位瓷理1殳施的A.6.2.1

10

制外部人小可能W衾，鹰前用状况株取遹富的安全控制措A.6.2.2

IM存取之安施，加修列安全规定於正式合柒1中。A.6.2.3

全掌控

(一)瓷安全系且微推勤舆才瞿责(A.6.1)

1.瓷安全系且^推勤以及耀责之分配(A.6.L1)

由管理隋眉犀娜定期之资安全■＞幸员，召集相^^位代表迤行工作

舆责任的分腐，碓保资安相十重的迤行，加展现管理E皆眉的支持。

定期(建^一^期一次)召^之资BH安全曾幸助霍责愿包含：

(1)rr定瓷in安全角色舆瓷m安全管理耀责分工，赋予相^人员Ji

有之安全榷责，包含资安相^政策、i+«、措施、技循亍烧靶、

安全技衙研究、建置、押估，乃至使用管理、保^、瓷械密

、稽核等，加以善面或其他方式言己^留存。

(2)碓保安全活勤符合资IK安全政策。

(3)^^安全教育司II穗及言忍知之提昇。

(4)押估资安全事件寄查及盛视的结果，加金样寸瓷安全事件提

出遹富的行勤方案。

2.资施使用之授^(A.6.1.2)

理^^的移醇(包含新常殳倩)，愿由耀责主管人员迤行授耀、移

交的程序，碓保^^的J嗔利建作以及责任所腐。

在资iHjm理言殳借的移醇、授耀部分，鹰碓保：

(1)在渠矜以及技循i上皆通遇木瞿责人员的安全押估，加余基主管核

准，才得以授槿使用。

(2)需迤行押估以及授槿工作埸所使用值］(私)人资BHJ遢理^施，例

如：型霜月第、PDA等1殳借，避免可能造成的新弱黠。

3.保密脩款之筵1丁(A.6.L3)

施行罩位之员工(包含正殿员工、I腺日寺雇员)鹰筵署猫j立或包含保密修

款之合系勺，碓保其了解鹰有之资安责任舆相廉1限制。

有^保密修款之筵rr：

(1)施行军位之员工雁翕署相［IS之保密合^，碓保其了解鹰有之资

安责任以及相^限制脩件。

(2)^掌人员因故有所建更日寺，可视需求重新检视保密僚款之

遹切性。

4.跨军位合作及^^(A.6.1.4)

篇碓保瓷安全作渠的1嗔利建行，需典轨法檄IW、主管檄情、WR

服矜摩商及重信公司建立遹富的港通管道。

在跨檄IW的合作典^^上，鹰逵到：

(1)舆资安渠矜相118视需求建立舆富的互勤管道，以即

it

日寺掩得外部的资源癌助，解泱相。

(2)在舆外部^^互勤交流日寺，J1予以遹常的限制，防止敏感性资

^遭未^授^之存取。

5.资安全SI冏(A.6.1.5)

在必要畤，须向军位内部惠棠人员或外部寡^^^人员徵前、

资BH安全建1羲。

在资m安全nrw及^^方面，愿考量：

(1)施行罩位资安人力、能力和系基瞬不足情况下，得以委届青内部事

棠人具或外界事家^者提供«1冏1^旬的服矜。

(2)蛰掠基由委^之提供冏^前服矜的事家擘者，相^军位及人员

J1予以必要的愤助及支援。

6.瓷BH安全政策的褐立检视(A.6.1.6)

檄IW制FT之瓷BH安全政策，鹰迤行褐立及客觐的押估。

在资安政策押估上，鹰考量：

(1)反映政府^^安全管理政策、法令、技循亍及檄^^矜之最新状

，兄，碓保资in安全之^矜作渠，遵守施行罩位的资tn安全

政策，加碓保^^安全^矜作渠的可行性及有效性。

(-)施行军位外部人员存取安全管理(A.6.2)

1.施行军位外部人员存取之安全掌控(A62.1)

面封外部人员存取施行军位资理1殳施的可能凰陂，鹰视状况探

取逾富的安全控制措施，僚列安全规定於正式合柒I中。

^於外部人员存取的安全控制措施，愿包含：

(1)押估存取凰陂，了解存取的资料^型、^值、安全措施舆影警,

加硅保典外部人员建立^^,筵言丁契^，才得以迤行存取勤作。

(2)外部人员存取之安全契的，鹰脩列资安规定、tim、必要速

脩件、各^法律责任及限制、撤金肖使用才瞿利规定等供其遵守。

(3)欧督、查核外部人员存取行焉，建立控制其遵守相^规定之械

制，必要畤做出反11加留存相18系己^。(较遹用於第一群)

12

A.7

瓷言丹瓷崖分^管制

施行罩位内有多少资资筐?其资安全等级舆分^^何？篇碓保施行军

位瓷羟推得遹切的保，明碓的瓷羟分^典保，符有助於资羟保管的轨行

效率，降低受危害的可能，势必迤行撤底时崖清黑占舆分；由於艮才羟言己^在各擘

校里位已有^掌军位，焉避免工作重叠的浪费，可彳堇迤行祷充加强的部份，^充

既有的瓷BH瓷筐清军，使其符合资安政策，降低可能的威宵及危。

IS027001

本章箭主要的内容可参照下表：:2005(E)

A.7羟分^典管制A.7

控制A.7.1资瓷筐分^舆责任分）8A.7.1

目襟A.7.2

A.7.1.1H裂作所有资BH资羟之清册，加定期雉、A.7.1.1

目鳏建立更新。A.7.1.2

控

A.7.1.3

制

A.7.1.2资IH安全资BH瓷羟H迤行分级舆襟示，加考量重要资A.7.2.1

等级分羟的需求，於必要畤制定保^措施及虑理流A.7.2.2

程，

（一）瓷BH瓷崖分^^责任分Jg（A.7.1）

1.资BH瓷羟目^建立（A.7.L1）

鹰裂作所有瓷瓷筐之清册,加定期雉、更新。

瓷瓷羟之清册鹰逵到：

（1）建立一份资m瓷筐目，官丁定^崖之项目、挑有者及安全等

级分^等，加定期雉^典更新其内容。

（2）瓷BH瓷筐参考JM目如下：

a.一般瓷崖：资料康及资料槽案、系统文件、使用者手册、

前晴谏教材、作棠性及支援程序、棠矜永^建作^^、

作渠if重等。

b.:鹰用软醴、系统软醴、樊展工具及公用程式等。

c.:雷月第及通^言殳借、磁性媒11资料及其他技循稽殳

（1°

d.技循i服矜瓷崖：霜月窗及通信服矜、其他技淅性服移（雷源及

空翻。

（3）所有有^^in系统或服矜之瓷崖鹰指定事责罩位保管,其11掌

13

如下：

a.碓定瓷in及资筐逾常地分。

b.定期寄查存取限制及分

(4)有^^系统或服矜的瓷筐，其可接受的使用方式^^被碓

言忍，她以善面或其他方式看己^彳爰^^^行。

2.瓷BH安全等级分^(A.7.1.2)

瓷瓷羟鹰迤行分级舆才票示，加考量重要资羟的需求，於必要畤制

定保^措施及虞理流程。

资BH瓷筐分^原刖，愿包含：

(1)资1K安全之等级分^原即如下所示：

a.J1建立^安全等级之分，考量资分享及限制的

影警、未^授的系统存取或是系统损害封械Hfl渠矜的面

s。

b.in安全分,依撮阈家械密保^、霜月匐遢理他人资

料保^及政府^^公^等相^法规，符显分焉檄密性、敏

感性及一般性等三^。

C.界司•资安等级之责任，J1由资料的原始崖生者或是由指定

的系统所有者负责。

d.常须孰行或参考其他罩位FT定之资安等级分^日寺，J1特别

注意其典本^^的资tn安全等级分^，在定羲及才票型上是

否相同。

(2)鹰纳入安全等级分^之项目，包括善面幸艮告、磁性媒醴、霜子

^息及槽案资料等，加檄示遹常的安全等级以利使用者遵循。

14

A.8

人员安全管理舆教育独豚柬

再怎麽殿密完整的政策舆控制措施，缺乏觐念正碓、司II穗有素的轨掌人员孰

行，亦是惘然。因此，施行军位所匾相ns人员需金十封其据负的资安责任，迤行管

理舆教育司,|穗,透谩定期的^程司口穗,碓保其在殿位上能轨行各项相H资安措

施，降低可能的资安凰^。

IS027001

本章15主要的内容可参照下表：:2005(E)

A.8人员安全管理舆教育司口穗A.8

控制A.8.1聘任前之虞理A.8.1

目檄

控A.8.1.1所匾角色施行军位之具工、摩商及第三方使用者的资A.8.1.1

制舆责任^安全角色及责任鹰逾需求以害面或其他方

式清楚定羲，加舆资BK安全政策一致。

控制A.8.2聘用中之虞理A.8.2

目襟

A.8.2.1^^安全施行军位内所有员工、合作摩商典第三方使A.8.2.2

教育言口穗用者鹰接受逾富之资安司II穗典有H瓷安政

控

策、程序之宣厚^程。

制

A.8.2.2反规定依撮既定之修款或合系勺,遑反施行军位之资A.8.2.3

之虞理安全政策舆程序之人员，愿予以遹常之憨

fgJ遢理。

控制A.8.3结束聘任或改建H矜A.8.3

目檄

A.8.3.1结束聘用负责孰行结束聘用或改建H矜之耀责，其HA.8.3.1

之虞理掌鹰清楚定羲加指派。

控A.8.3.2资羟缴回资崖缴回有正式的高隹F战程序"骸示其已缴A.8.3.2

制回军位资崖。

aA.8.3.3存取槿移所有员工、合^商及第三方使用者的存取耀A.8.3.3

除限鹰根操既有的烧靶或癌定迤行移除或改

燮O

(-)聘任前之虞理(A.8.1)

1.所腐角色舆责任(A81.1)

施行军位之员工、摩商及第三方使用者的瓷安全角色及责任愿遹

15

需求以善面或其他方式清楚定羲，加舆瓷安全政策一致。

其原剧鹰包括：

(1)符合^^安全政策。

(2)保^瓷崖防止未授槿的存取、波漏、更改、破壤或干援。

(3)硅保每^行勤烧轮中，彳固人的责任。

(4)安全角色及责任鹰在聘用前即鹰明碓定羲加舆Jffi徵者清楚地潢

通(由商聘用亦同)。

(-)聘用中之虑理(A82)

1.瓷安全教育副㈱(A.8.2.1)

施行军位内所有员工、合作摩商舆第三方使用者愿接受遹富之资安

^^舆有^资安政策、程序之宣厚^程。

有^资安教育舆司II穗的部份：

(1)J1定期(建^一擘年至少一次)以人员角色及II能焉基磁，金十封

不同眉级人员迤行迤行瓷安全教育及^^，促使员工了解资

^安全的重要性以及各槿可能的安全凰陂，提高具工资安意

，加遵守资安规定。

(2)施行罩位同意及授槿使用者存取系统前，J1教簿使用者登入系

统之程序，以及如何正硅地操作及使用软醴及遑烧虑理。

(3)非施行军位所匾员工之相^人员，J1硅保其封资安政策、相H

控制及程序有一定的了解，加清楚其资安责任。

2.谟反规定之虞理(A82.2)

依操既定之修款或合系勺，谟反施行军位之资安全政策舆程序之人

M，愿予以遹常之憨却虑理。

(三)结束聘任或改(A83)

1.结束聘用之虞理(A.8.3.1)

负责孰行结束聘用或改燮^矜之才瞿责，其^掌鹰清楚定羲加指派。

11於结束聘任接或改，m:

(1)视需求在合的中载明结束聘用彳爰其责任及羲矜仍然有效的规

定。

(2)人员已雕殿或^^，愿通知相(W具工、合的商及第三方使用者。

2.W>M0(A.8.3.2)

资羟缴回鹰有正式的^^程序示其已缴回军位资羟。

资筐的缴回H:

(1)包括所亵给的软醴、罩位文件、及官殳借。其它军位的瓷筐；例

如行勤建算^^、信用卡、智慧卡、手册及其它必须缴回的重

子媒醴。

(2)若使用自有的言殳借虑理资，鹰有正常程序以硅保相1H已

16

傅移至军位，加安全的彳是1殳借中移除。

(3)罂寸罩位持^操作的重要知it或^^，迤行移傅或系己^。

3.存取耀移除(A.8.3.3)

所有员工、合系勺商及第三方使用者的存取^限鹰根撼既有的烧靶或

癌定迤行移除或改建。

移除或改燮的存取耀限鹰：

(1)包括及邂辑存取、输匙、另嗝登、^理言殳施及任何可

以^示其篇军位成员的文件。

(2)在结束聘用或改燮殿矜之前，押估瓷瓷筐及^^^理言殳借的

存取槿被降低或是移除。

(3)若存取槿限焉多人共用，例如群余且幔号虎，即其槿限J1予移除，

加通知相Hfl人员不再典雕殿人员分享^^IH。

17

A.9

舆璟境安全

禹保^^遢理^施以及所在位置的安全，除璟境的管制保^措施外，软硬

醴的防^措施也需撤底^行，以有效降低资安事件亵生的檄率。造部份篇各项资

的基磁，再殿密的虑理程序及烧靶，缺少^醴及璟境的安全落^，仍

营瓢法逵到保的目的，因此，此部分管理措施的落^典否，各项迤一步控

管制度的基石。

IS027001

本章箭主要的内容可参照下表：:2005(E)

A.9舆琪境安全A.9

控制A.9.1IS域之安全A.9.1

目襟

A.9.1.1^修8境施行罩位H探用逾富防^措施保障^^^理A.9.1.1

安全官殳施所在展域（檄房言殳借、人具辨公国域）的安

全。

控

A.9.1.2人员谨出施行军位施控制措施，硅保只有授^人A.9.1.2

制

控制员可以迤出安全1S域。

项

A.9.1.3资理在瓷遢理^施所在11域工作，愿探取遹富A9.1.3

施安全的控制措施舆指引，碓保域的安全性。A9.1.4

A9.1.5

控制A.9.2言殳借之安全A.9.2

目檄

控A.9.2.1台殳借安置施行军位愿安置或保i殳借，降低璟境之威A.9.2.1

制地黑占之保耆、炎害以及未授^存取所造成的可能损失。

项^措施

A.9.2.2重源供愿施行11位11保^^虞理^降低重力故A.9.2.2

障或昊常的影。

A.9.2.3霞窿^安施行军位鹰保通昌用1务泉及资遢理^^之A.9.2.3

全防^重源，降低受藕11或破壤的可能损失。

—较遹用於第一群

A.9.2.4官殳借之^资BHja理^借愿予以遹常的系隹^，硅保其持A.9.2.4

励1作。

A.9.2.5言殳借幸员屡资理1殳借在甄座或再使用的谩程中，mA.9.2.6

典再使用避免内存资料的外q曳，迤行必要之清除勤作。

18

A.9.2.6防未^施行罩位所JS之^借、或软醴未^授A.9.2.7

授耀之移禁止移重力。

勃

(-)IS域之安全(A91)

1.璟境安全(A.9.L1)

施行军位愿探用遹常防^措施保障资理1殳施所在展域(檄房1殳

倩、人员辨公显域)的安全。

理言殳施所在展域之安全，m:

(1)以事前副定的各项遇遏官殳施禹基磁，含殳置必要的管制，逵成安

全控管的目的。

(2)依资资筐及服矜系统的^值及安全J虱陂，泱定保^的程

度。

2.人员迤出控制(A91.2)

施行军位^^施控制措施,碓保只有授才瞿人具可以迤出安全II域。

IW於人员迤出安全国域的管制,鹰硅保：

(1)有遹富的迤出管制保^措施，使辗授槿的人员不得迤入。

(2)人员迤入管制IEJ1予逋常管制，加系已^迤出日寺；^^人

员只有在特定的目的或是被授^情形下，才能迤入管制癌。(敕

遹用於第一群)

(3)，J1立即撤^迤入管制国的榷利。

3.瓷理^施安全(A.9.L3)

在瓷虑理^施所在显域工作，愿探取遹常的控制措施舆指引，硅

保^显域的安全性。

篇碓保展域之安全性，探取的控制措施典指引愿包含：

(1)资遢理^施所在国域鹰官殳立良好的^醴安全措施，考量各槿

自然及人焉炎害的可能性，考量郝近空^的可能安全威耆。(敕

逾用於第一群)

(2)^^^理言殳施J1遽蹄大聚或是公共^^系统可直接迤出的地

黠。(较逾用於第一群)

(3)^^^理言殳施J1儒可能不要有遇於明^的本票示；在建篥物内部

及外部的^明，儒可能不要有谩於明^的指引或配置^明。

(4)危陂性及易燃性物品J1遽雕理言殳施的安全地黠；非有必

要，霜月第相^文具备殳借不鹰存放在重月畿械房内。

(5)借援作渠用的直殳借及借援媒醴，J1存放在安全距雕以外的地

黠。(较逾用於第一群)

(6)J1安装遹常的安全侦测及防制禄殳借，各^安全官殳借J1依摩商的

使用^明善定期检查，加剑噬寸相BI员工迤行遹富的安全^使

19

用穗。倬交遹用於第一群)

(7)1殳借安全聚急虑理作渠程序愿以善面方式^载，加定期(建^一

阜期一次)演穗及测就。(较遹用於第一群)

(-)1殳借之安全(A.9.2)

1.^^安置地黑占之保^措施(A.9.2.1)

施行军位鹰安置或保，降低璟境之威宵、炎害以及未授^存

取所造成的可能损失。

^安置须遵循下列之原即：

(1)言殳倩鹰翥量安置在可减少人员不必要^常迤出的工作地黠。M

理械密性及敏感性资料的工作站，雁放置在员工可以注意及照

II的地方。

(2)需要特别保^的官殳倩，J1考量舆一般^^国隔，安置在褐立的

11域。倬交遹用於第一群)

(3)J1检查及押估火袋、理、火、灰廛、震勤、化擘效鹰、重力供

J1、雷磁幅射等可能的凰陂。俾交遹用於第一群)

(4)重月酊乍渠显鹰禁止抽菸及欺用食物。

2.雷源供鹰(A.9.2.2)

施行军位鹰保^^遢理^^，降低重力故障或巽常的影辔。

有ss於瓷理1殳借重源供鹰＞m:

(1)防止断雷或其他重力不正常蹲致的^害；雷源供鹰鹰依獴装造

商提供的规格言殳置。

(2)鹰考量安置借重源，加考量使用不断重系统。

(3)揩不断重系统失效之彳爰的J1燮措施纳入资安事件聚急虑理JB建

§+«;不断重系统鹰依獴裂造摩商的建^，定期迤行混居式。

(4)鹰福堇慎使用雷源延;，以免重力辗法负荷醇致火袋等安全情

事。

3.^^小泉安全防^(A.9.2.3)—申交遹用於第一群

施行单位鹰保^通及瓷遢理^^之重源，降低受藕II或破