跳到主要內容區

資訊安全管理作業要項

管理循環

標準架構

內容要項

工作概要

PLAN

 4.組織環境

 1. 瞭解組織及其環境

* 組織全景期望

* 相關利害團體需求

* 訂定系統範圍

* 制定系統

* 管理階層領導力與承諾

* 訂定資訊安全政策

* 訂定組織職掌

* 盤點資訊資產

* 識別風險、預防弱點與威脅

* 風險處理與再評鑑

* 業務衝擊分析

* 資訊安全目標達成計畫

* 資源分配與運用

* 人員專業能力

* 教育訓練

* 相關利害團體溝通

* 資訊安全管理所需文件

 2. 了解相關利害團體需求與期望

 3. 決定資訊安全管理系統範圍

 4. 資訊安全管理系統

 5.領導

 1. 領導與承諾

 2. 政策

 3. 組織的角色、責任與職權

 6.規劃

 1. 風險與機會處理措施

 2. 資訊安全目標與達成計畫

 7.支援

 1. 資源

 2. 能力

 3. 認知

 4. 溝通

 5. 文件化資訊

 

管理循環

標準架構

內容要項

工作概要

DO

8.運作

1. 運作規劃與控制

2. 資訊安全風險評鑑

3. 資訊安全風險處理計畫

* 程序書、作業說明與表單 

* 日常維運及紀錄文件

* 異常或資安事件處理

* 業務持續營運計畫與演練

 

管理循環

標準架構

內容要項

工作概要

CHECK

9.績效評估

1. 監視、量測、分析與評估

* 有效性量測及分析* 

* 內部稽核

* 管理審查會議

2. 內部稽核

3. 管理審查

管理循環

標準架構

內容要項

工作概要

ACT 10.改善 1.  不符合事項與矯正措施

* 事件矯正處理 

* 檢討反饋與改善