中華民國105年4月6日文資字第1053009700號函訂定
中華民國113年11月26日文資字第1133032255號函修正
壹、目的
為落實本部及附屬機關服務管理、資訊安全管理與個資管理之標準化政策,特設置「文化部資訊服務及安全暨個人資料管理推動會」(以下簡稱推動會)以推動相關工作事宜,特訂定本要點。
貳、範圍
請參閱「ISMS-1001 文化部資訊服務及安全暨個人資料管理政策」之範圍。
參、名詞定義
一、服務管理系統(Service Management System,SMS)
服務管理系統是一套整合的管理框架,旨在規劃、設計、提供、運作及持續改進服務,涵蓋服務交付、資源管理、績效評估等流程,確保服務的品質、效率及一致性。
二、資訊安全管理系統(Information Security Management System,ISMS)
資訊安全管理系統是一種系統化管理方法,用於識別、評估及管理與資訊資產相關之安全風險,從管理到執行全面建構資訊安全管理系統之機密性、完整性及可用性,並通過風險管理和持續改進確保組織之資訊安全目標得以實現。
三、個人資料保護管理系統(Personal Information Management System,PIMS)
個人資料保護管理系統是一套管理框架,協助組織管理個人資料,遵守法規並保障個人資料之機密性、完整性及可用性,包括從資料收集、儲存、處理到刪除的全生命周期管理,確保個資處理過程中之透明度與合規性。
四、個人資料檔案盤點表
「個資管理執行小組」依據個資盤點項目完成清查後之彙整檔案。
五、資訊資產清冊
「資安管理執行小組」依據資訊資產盤點項目完成清查後之彙整檔案。
六、風險評鑑(Risk Assessment , RA)
係一評估過程,以評估組織運作過程中,所涉及之風險。風險評鑑是風險識別、風險分析和風險評估的總體過程。
七、持續改善
藉由稽核結果、矯正與風險處理措施及管理階層審查,持續改進SMS、ISMS及PIMS之有效性。
肆、推動會權責說明
一、推動會之組織架構請參閱「INTG-4005資訊服務及安全暨個人資料管理推動會組織架構圖」,組織成員應記錄於「INTG-4002資訊服務及安全暨個資管理與溝通事項分工表」並公告內部周知,異動時應加以更新。
二、推動會由本部資通安全長兼任「召集人」,本部主任秘書、各司處單位主管(副主管)及附屬機關(構)之首長(副首長)兼任推動會委員,職責如下:
(一)每年至少一次或視需要召開會議,審查SMS、ISMS及PIMS事項。
(二)視需要召開跨單位之資源協調會議,負責協調SMS、ISMS及PIMS管理制度執行所需之相關資源分配。
(三)督導SMS、ISMS及PIMS下列工作項目:
1.緊急應變活動。
2.活動監控。
3.資安事件處置。
4.持續改善活動。
(四)每年至少一次審核與確認矯正與風險處理措施之執行與成效追蹤。
(五)負責績效管理方案之審查及執行。
(六)執行情形之追蹤。
(七)監控量測管理,評量及量化服務之達成狀況,監控流程及服務之符合情形。
三、執行秘書職責如下:
(一)由本部資訊處處長兼任。
(二)本部發生資安事件時,負責執行SMS、ISMS及PIMS下列工作項目:
1.緊急應變活動及協調相關人員。
2.活動監控。
3.資安事件處置。
4.持續改善活動。
(三)除負責審核本政策之研擬修訂外,管理監督其下設置之執行小組(「服務管理執行小組」、「資安管理執行小組」、「個資管理執行小組」)及各單位相關活動之執行。
(四)遇到緊急重大資安事件,由執行祕書跟「緊急應變執行小組」進行通報。
四、服務管理執行小組職責如下:
由本部資訊處主政,並協同相關單位組成,負責規劃及執行各項SMS相關作業。
(一)研訂相關規範。
(二)推動及執行相關活動。
(三)辦理相關教育訓練。
(四)建立風險管理制度,執行風險管理。
(五)建立資安事件緊急應變暨復原措施。
(六)執行稽核改善建議事項。
(七)研討新服務或技術。
(八)執行推動會決議事項。
(九)負責績效指標之彙整。
(十)執行績效指標量測。
五、資安管理執行小組職責如下:
由本部資訊處主政,並協同相關單位組成,負責規劃及執行各項ISMS相關作業。
(一)研議相關規範。
(二)推動及執行相關活動。
(三)辦理相關教育訓練。
(四)建立風險管理制度,執行風險管理。
(五)建立資安事件緊急應變暨復原措施。
(六)執行稽核改善建議事項。
(七)研討新資訊安全產品或技術。
(八)執行推動會決議事項。
(九)鑑別相關之法規。
(十)負責績效指標之彙整。
(十一) 執行績效指標量測。
六、個資管理執行小組職責如下:
由本部資訊處主政,並協同相關單位組成,負責規劃及執行各項PIMS相關作業。
(一)研議相關規範。
(二)推動及執行相關活動。
(三)辦理相關教育訓練。
(四)建立風險管理制度,執行風險管理。
(五)建立資安事件緊急應變暨復原措施。
(六)執行稽核改善建議事項。
(七)執行推動會決議事項。
(八)遵循個人資料保護法及主管機關相關規定。
(九)負責績效指標之彙整。
(十)執行績效指標量測。
七、稽核小組職責如下:
由本部政風處主政,並協同相關單位組成,負責辦理稽核SMS、ISMS及PIMS管理制度之執行。
(一)規劃年度內部稽核作業,決定稽核重點與方式,必要時舉辦稽核員講習。
(二)於每年進行稽核作業前完成稽核計畫,並提交「執行秘書」會審核。
(三)每年進行內部稽核,並提出稽核報告及相關建議事項予本推動會。
(四)負責矯正管理執行
1.開立「矯正處理單」。
2.矯正措施之管制及核定。
3.追蹤不符合事項之改善執行情形。
(五)執行辦公室資通安全管理之檢查。。
(六)參與資訊安全外部稽核評鑑作業。
八、各附屬機關維運小組職責如下:
由各附屬機關主政,負責推動及執行該機關SMS、ISMS及PIMS相關作業。
九、緊急應變執行小組職責如下:
負責處理「營運持續管理」事宜及緊急重大資安事件(涵蓋SMS、ISMS及PIMS之三、四級資安事件),相關權責及作業內容分述如下:
(一)「緊急應變執行小組」召集人
由本部主任秘書兼任。當發生緊急重大資安事件時,負責指揮資安事件處理、召開「緊急應變執行小組」緊急會議、指揮資安事件調查、裁示是否通報警政機關、協調及督導各關鍵業務流程負責人執行作業、協調資源之調派使用、裁示是否及如何發布新聞稿、指揮後續處理及事後檢討稽核等事宜,並參酌「國家資通安全通報應變作業綱要」辦理。
1.PIMS資安事件:
裁示是否通報個資當事人、主管機關及警政機關。
2.營運持續管理資安事件:
(1)依據資安事件評估之結果,得依現況陳請推動會召集人核示是否啟動營運持續計畫。
(2)負責規劃原營運場所之現場復原工作。
(3)負責緊急應變之規劃。
(4)統籌「營運持續管理」。
(二)小組成員
1.負責各類風險/損害評估及控制,協助擬定資安事件處理措施。
2.負責原營運場所或異地備援場所之應變、處理、復原及運轉測試工作等後續事宜。
3.協助修復系統設備/控制損害。
4.協助資安事件調查、協助蒐集資料以供發言人對外公布新聞稿及報案等事宜。
5.負責災害現場證據收集,俾利未來訴訟與損害求償事宜。
6.負責擬訂、更新承辦業務之「營運持續計畫」。
7.負責「營運持續計畫」之執行。
8.負責並召集相關人員進行「營運持續計畫」之演練。
(三)其他SMS、ISMS及PIMS負責人員
請參閱「INTG-4002資訊服務及安全暨個資管理與溝通事項分工表」。
十、各單位之權責或配合事項
(一)各單位之主要權責如下:
1.協助服務管理執行小組、資安管理執行小組及個資管理執行小組召集人召開工作會議及辦理管理審查事宜。
2.負責對內並協助對外之個人資料保護聯繫事宜。
3.負責本部內部SMS、ISMS及PIMS資安事件通報後之協調處理事宜。
(二)各單位應指派專人擔任SMS、ISMS及PIMS相關作業連繫窗口,配合辦理下列工作事項:
1.辦理服務管理執行小組、資安管理執行小組及個資管理執行小組之交辦事項。
2.彙集與轉呈各單位之意見或資料予服務管理執行小組、資安管理執行小組及個資管理執行小組,以利工作檢討。
3.協助追蹤管理SMS、ISMS及PIMS相關稽核所提相關建議事項。
4.及時通報SMS、ISMS及PIMS資安事件。
5.協助各單位每年維護「個人資料檔案盤點表」與「資訊資產清冊」內容。
6.協助各單位於新增個人資料蒐集、處理及利用相關作業時,應實施個人資料影響評估,以確認相關作業之適法性。
(三)本部人員應配合事項如下所述:
1.應遵守「資通安全管理法及其子法」、「個人資料保護法」、其他相關法令之要求及本部個人資料保護與資訊安全相關規定,落實SMS、ISMS及PIMS相關作業規範。
2.配合執行或參加SMS、ISMS及PIMS相關教育訓練。
3.執行管理階層於SMS、ISMS及PIMS之決策及交辦事項。
4.主動通報資安事件。
(四)各業務權責單位
應要求委外廠商與人員遵循本部制訂之「INTG-1001文化部資訊服務及安全暨個人資料管理政策」與相關作業規範,請參閱「INTG-2008 文化部委外管理程序」。
十一、事項分工
人員之權責應明確分工,並建立「INTG-4002資訊服務及安全暨個資管理與溝通事項分工表」,得視需要實施人員輪調,建立人力備援制度。
伍、溝通
為確保本部之內外部聯繫與溝通之順暢與有效,應將所有利害關係人/團體之聯繫、溝通管道與時機填寫於「INTG-4004溝通管道、時機、對象表」,並按照其定義之時機執行。
陸、管理審查
一、為確保「資訊服務及安全暨個人資料管理政策」之落實,推動會每一年應至少召開一次管理審查會議,必要時得召開臨時會議,並得於會議中提報下列議題:
(一)前次管理審查會議決議執行狀況。
(二)影響SMS、ISMS及PIMS相關議題、制度、系統及文件之變化。包含新資訊安全產品或技術導入之評估、結果及審查。
(三)SMS、ISMS及PIMS之績效及其趨勢
1.SMS、ISMS及PIMS稽核結果及建議改善事項。
2.缺失及矯正措施檢討。
3.SMS、ISMS及PIMS目標執行狀況及關鍵績效指標評量報告。
4.監控與量測之統計分析結果。
5.風險評鑑之結果及風險處理之狀況。
(四)來自主管機關之個資相關要求。
(五)內部人員、主管機關及外部單位等利害相關團體的建議。
(六)本部已發生之SMS、ISMS及PIMS相關資安事件之處理狀況及檢討。
(七)程序之檢討及審查。
(八)本部及其所屬單位意見、抱怨及申訴之處理狀況。
(九)持續改善之機會。
二、管理審查會議之結論建議得如下:
(一)SMS、ISMS、PIMS及流程之有效性改善措施。包含檢討績效指標量測項目、評量方式與目標水準是否需進行調整。
(二)針對改善SMS、ISMS及PIMS之需要,協調所需之資源。
(三)檢討風險改善項目與計畫是否需進行調整。
(四)以下要求所造成服務之改善:
1.營運需求。
2.客戶需求。
3.安全需求。
4.業務需求。
5.管理或法規需求。
6.契約要求。
三、管理審查會議為SMS、ISMS及PIMS制度重要之活動,文件發行應依「INTG-2002 文化部文件管理程序」辦理,會議紀錄之內容應參考「INTG-4003 資訊服務及安全暨個資管理審查會議紀錄」格式撰寫。
柒、參考文件
一、ISMS-1001 文化部資訊服務及安全暨個人資料管理政策。
二、INTG-2002 文化部文件管理程序。
三、INTG-2008 文化部委外管理程序。
捌、附件
一、INTG-4002 資訊服務及安全暨個資管理與溝通事項分工表。
二、INTG-4003 資訊服務及安全暨個資管理審查會議紀錄。
三、INTG-4005 資訊服務及安全暨個人資料管理推動會組織架構圖。
玖、實施與更新
請參閱「INTG-2002 文化部文件管理程序」。