管理循環
|
標準架構
|
內容要項
|
工作概要
|
PLAN
|
4.組織環境
|
1. 瞭解組織及其環境
|
* 組織全景期望
* 相關利害團體需求
* 訂定系統範圍
* 制定系統
* 管理階層領導力與承諾
* 訂定資訊安全政策
* 訂定組織職掌
* 盤點資訊資產
* 識別風險、預防弱點與威脅
* 風險處理與再評鑑
* 業務衝擊分析
* 資訊安全目標達成計畫
* 資源分配與運用
* 人員專業能力
* 教育訓練
* 相關利害團體溝通
* 資訊安全管理所需文件
|
2. 了解相關利害團體需求與期望
|
3. 決定資訊安全管理系統範圍
|
4. 資訊安全管理系統
|
5.領導
|
1. 領導與承諾
|
2. 政策
|
3. 組織的角色、責任與職權
|
6.規劃
|
1. 風險與機會處理措施
|
2. 資訊安全目標與達成計畫
|
7.支援
|
1. 資源
|
2. 能力
|
3. 認知
|
4. 溝通
|
5. 文件化資訊
|
|
管理循環
|
標準架構
|
內容要項
|
工作概要
|
DO
|
8.運作
|
1. 運作規劃與控制
2. 資訊安全風險評鑑
3. 資訊安全風險處理計畫
|
* 程序書、作業說明與表單
* 日常維運及紀錄文件
* 異常或資安事件處理
* 業務持續營運計畫與演練
|
|
管理循環
|
標準架構
|
內容要項
|
工作概要
|
CHECK
|
9.績效評估
|
1. 監視、量測、分析與評估
|
* 有效性量測及分析*
* 內部稽核
* 管理審查會議
|
2. 內部稽核
|
3. 管理審查
|
|
管理循環
|
標準架構
|
內容要項
|
工作概要
|
ACT |
10.改善 |
1. 不符合事項與矯正措施 |
* 事件矯正處理
* 檢討反饋與改善
|
|