資訊安全管理政策

教育部資訊安全推動管理會設置及資訊安全管理實施要點

中華民國103年6月頒行

教育部（以下簡稱本部）為落實推動本部資訊安全管理，特設教育部資訊安全推動管理會(以下簡稱本會)，並訂定本要點。

一、教育部（以下簡稱本部）為落實推動本部資訊安全管理，特設教育部資訊安全推動管理會(以下簡稱本會)，並訂定本要點。
二、本部資訊安全管理範圍如下：

• (一)資訊資產。
• (二)人員資訊資源使用權限。
• (三)重要業務資訊系統建置、開發及維運。
• (四)實體及環境安全。
• (五)通訊及作業。
• (六)資訊安全事件通報及應變。
• (七)重要業務資訊系統持續營運。

三、本會之任務如下：

• (一)本部資訊安全管理政策之研議。
• (二)本部資訊安全管理制度之推展及分配適當資源。
• (三)本部資訊安全風險評鑑及管理。
• (四)本部資訊安全管理措施有效性檢視及審議。
• (五)本部資訊安全管理稽核結果檢視及審議。

四、本會置委員十九人，其中一人為召集人，由本部次長 (資安長)兼任，其餘委員由本部各單位(以下簡稱各單位)指派資訊安全督導人員(副主管或專門委員以上)一人及國教署、青年署與體育署 (以下簡稱部屬機關)指派資訊安全督導人員(副署長或專門委員以上)一人兼任。 本會置執行秘書及副執行秘書各一人，由本部資訊及科技教育司(以下簡稱資科司)司長及副司長兼任，承召集人之命辦理本會有關業務。 本會幕僚工作由資科司辦理，為強化幕僚功能，得邀請各單位人員參與幕僚作業。

五、本會由召集人定期召開會議，並擔任主席，召集人因故不能主持會議時，得指定委員代理；各單位及部屬機關兼任之委員如不克出席會議，得指派相當層級代表出席。 前項會議開會時，得邀請本部所屬機關(構)、相關機關代表、學者專家出（列）席。

六、各單位資訊安全督導人員，應督導單位內同仁辦理下列資訊安全事項：

• (一)各單位資訊資產之清點、風險評鑑作業。
• (二)評估重要業務資訊系統(網站)應否納入本部資訊安全管理範圍，執行必要之資訊安全管控措施。
• (三)遵守本部相關電腦及資訊系統使用管理、資訊處理規範。
• (四)電腦資訊設備安全管理。
• (五)各單位資訊安全檢查及稽核作業。
• (六)對稽核之缺失予以管制，以落實執行矯正及預防措施。
• (七)資訊安全事件通報及應變處置。
• (八)參加資訊安全教育訓練。

七、各單位指定資訊安全管理專責人員，辦理下列事項：

• (一)執行各單位資訊資產清點、風險評鑑作業。
• (二)建立各單位資訊安全管理所需程序，並予以文件化。
• (三)推動及執行適當之資訊安全管控措施。
• (四)執行各單位資訊安全檢查及稽核作業。
• (五)執行資安事件通報及協助應變處置。
• (六)辦理各單位同仁接受資訊安全訓練。

八、本會下設資訊安全管理審查會(以下簡稱管審會)，由執行秘書擔任召集人，召集各單位資訊安全管理專責人員，定期召開管審會會議；其任務如下：

• (一)研訂資訊安全政策相關建議(包括相關資源分配建議)、資訊安全管理程序及文件，並提報本會審議。
• (二)審查各單位風險評鑑及相關管理措施之有效性，向本會提報執行情形及建議事項。
• (三)審查各單位資訊安全稽核(包括外部認證稽核)及改善措施(預防及矯正)執行情形，並向本會提報執行情形及建議事項。
• (四)審核各單位資訊安全事件通報及應變處置情形，研商改善作為及建議，以提供各單位參考辦理，並將重大資安事件(包括國家資通安全通報應變作業綱要規定之三級以上資安事件及重大個資外洩事件)提報本會審議。

九、為推動資訊安全管理，本會設下列工作小組：

• (一)風險管理小組：由資科司主政，綜合規劃司協辦、召集各單位資訊安全管理專責人員組成，協助各單位進行資訊資產清點、分級及風險評鑑作業。
• (二)文件管理小組：由資科司主政，召集各單位資訊安全管理專責人員組成，制定資訊安全管理所需之相關程序、文件及表單。
• (三)稽核小組：由政風處主政，召集資科司及各單位資訊安全管理專責人員組成，每年定期辦理二次資訊安全稽核作業，對缺失提出改善建議。
• (四)業務持續運作管理小組：由資科司主政，召集各單位重要納管之資訊系統負責人組成，制定各項重要業務系統持續運作計畫、定期辦理演練及檢討改善措施。
• (五)宣導教育小組：由人事處主政，召集各單位資訊安全管理專責人員組成，負責規劃及實施全體同仁一般資訊安全認知宣導教育。

十、各單位資訊安全管理之作法如下：

• (一) 實施資訊資產之清點、分級及風險評鑑。
• (二) 評估重要業務運作之資訊系統(網站)應否納入本部資訊安全管理。
• (三) 辦理實施資訊安全管理教育訓練，向本部同仁宣導相關作法及措施。
• (四) 針對納管之資訊系統(網站)所面臨風險，制定適當資訊安全管控措施。
• (五) 針對資訊安全管制措施，規劃可行之管控程序，並予以文件化。
• (六) 各單位資訊安全管理專責人員應輔導同仁，落實實施各項資訊安全管控措施。
• (七) 就稽核小組定期執行稽核檢查發現之缺失，各單位應對該項缺失實施矯正及預防措施。
• (八) 得接受外部資安稽核認證機構及行政院資通安全會報之稽核，以獲取資訊安全管理認證，並持續改善。