跳到主要內容區塊

文化部資訊服務及安全暨個人資料管理推動會設置要點

 





中華民國105年4月6日文資字第1053009700號函訂定


一、目的


 為落實本部及所屬機關(構)服務管理、資訊安全管理與個資管理之標準化政策,特設置「文化部資訊服務及安全暨個人資料管理推動會」(以下簡稱推動會)以推動相關工作事宜,特訂定本要點。


二、範圍


 請參閱「INTG-1-001 資訊服務及安全暨個人資料管理政策」之範圍。


三、權責


(一)推動會之組織架構請參閱「INTG-4-002-004資訊服務及安全暨個人資料管理推動會組織架構圖」,組織成員應記錄於「INTG-4-002-001 資訊服務及安全暨個資管理事項分工表」並公告內部周知,異動時應加以更新。


(二)推動會由本部資訊安全長兼任「召集人」,本部主任秘書、各司處單位主管(副主管)及所屬機關(構)之首長(副首長)兼任推動會委員,職責如下:


1.每年至少一次或視需要召開會議,審查SMS、ISMS及PIMS事項。


2.視需要召開跨單位之資源協調會議,負責協調SMS、ISMS及PIMS管理制度執行所需之相關資源分配。


3.督導SMS、ISMS及PIMS下列工作項目:


  (1)  緊急應變活動。


  (2)  活動監控。


  (3)  事故處置。


  (4)  持續改善活動。


4.每半年至少一次審核與確認矯正與風險處理措施之執行與成效追蹤。


5.負責績效管理方案之審查及執行情形之追蹤。


6.監控量測管理,評量及量化服務之達成狀況,監控流程及服務之符合情形。


(三)執行秘書


1.由本部資訊處處長兼任。


2.負責執行SMS、ISMS及PIMS下列工作項目:


  (1)  緊急應變活動及協調相關人員。


  (2)  活動監控


  (3)  事故處置。


  (4)  持續改善活動。


3.除負責審核本政策之研擬修訂外,管理監督其下設置之執行小組(「服務管理執行小組」、「資安管理執行小組」、「個資管理執行小組」)及各單位相關活動之執行。


4.遇到重大緊急事故,由執行祕書跟「緊急應變執行小組」進行通報。


(四)稽核小組


由本部資訊處主政,並協同相關處室組成,負責辦理稽核SMS、ISMS 及 PIMS管理制度之執行。


1.規劃年度內部稽核作業,決定稽核重點與方式,必要時舉辦稽核員講習。


2.於每半年進行稽核作業前完成稽核計畫,並提交「執行秘書」會審核。


3.每半年進行內部稽核,並提出稽核報告及相關建議事項予本推動會。


4.負責矯正管理執行


  (1)  開立「矯正處理單」。


  (2)  矯正措施之管制及核定。


  (3)  追蹤不符合事項之改善執行情形。


5.執行辦公室資通安全管理之檢查。


6.參與資訊安全外部稽核評鑑作業。


(五)服務管理執行小組


由本部資訊處主政,並協同相關處室組成,負責規劃及執行各項SMS相關作業。


1.研訂相關規範。


2.推動及執行相關活動。


3.辦理相關教育訓練。


4.建立風險管理制度,執行風險管理。


5.建立事故緊急應變暨復原措施。


6.執行稽核改善建議事項。


7.研討新服務或技術。


8.執行推動會決議事項。


9.負責績效指標之彙整。


10.執行績效指標量測。


(六)資安管理執行小組


由本部資訊處主政,並協同相關處室組成,負責規劃及執行各項ISMS相關作業。


1.研議相關規範。


2.推動及執行相關活動。


3.辦理相關教育訓練。


4.建立風險管理制度,執行風險管理。


5.建立事故緊急應變暨復原措施。


6.執行稽核改善建議事項。


7.研討新資訊安全產品或技術。


8.執行推動會決議事項。


9.鑑別相關之法規。


10.負責績效指標之彙整。


11.執行績效指標量測。


(七)個資管理執行小組


由本部資訊處主政,並協同相關處室組成,負責規劃及執行各項PIMS相關作業。


1.研議相關規範。


2.推動及執行相關活動。


3.辦理相關教育訓練。


4.建立風險管理制度,執行風險管理。


5.建立事故緊急應變暨復原措施。


6.執行稽核改善建議事項。


7.執行推動會決議事項。


8.遵循個人資料保護法及主管機關相關規定。


9.負責績效指標之彙整。


10.執行績效指標量測。


(八)緊急應變執行小組


負責處理「營運持續管理」事宜及SMS、ISMS及PIMS緊急重大事故,相關權責及作業內容分述如下:


1.「緊急應變執行小組」召集人:


由本部主任秘書兼任。當發生SMS、ISMS及PIMS等重大事故時,負責指揮事故處理、召開「緊急應變執行小組」緊急會議、指揮事故調查、裁示是否通報警政機關、協調及督導各關鍵業務流程負責人執行作業、協調資源之調派使用、裁示是否及如何發布新聞稿、指揮後續處理及事後檢討稽核等事宜,並參酌「國家資通安全通報應變作業綱要」辦理。


  (1)  PIMS事故:


    裁示是否通報個資當事人、主管機關及警政機關。


  (2)營運持續管理事故:  


      A.依據事故評估之結果,得依現況陳請推動會召集人核示是否啟動營運持續計畫。


      B.負責規劃原營運場所之現場復原工作。


      C.負責緊急應變之規劃。


      D.統籌「營運持續管理」。


      E.審核「年度營運持續管理規劃」。


2.風險管理人員


  (1)  負責各類風險/損害評估及控制,協助擬定事故處理措施、後續處理等事宜。


  (2)  負責擬訂「年度營運持續管理規劃」。


3.資訊相關人員


  (1)  協助修復系統設備/控制損害、協助事故調查、協助蒐集保存事證等事宜。


  (2)  負責擬訂、更新承辦業務之「營運持續計畫」。


  (3)  負責「營運持續計畫」之執行。


  (4)  負責「營運持續計畫」之演練。


4.各關鍵業務流程負責人


  (1)  協助擬訂、更新承辦業務之「營運持續計畫」。


  (2)  負責「營運持續計畫」之執行。


  (3)  負責「營運持續計畫」之演練。


  (4)  PIMS事故:


    協助事故調查、協助蒐集資料以供發言人對外公布新聞稿及報案等事宜。


  (5)營運持續管理事故:  


      A.負責召集相關人員,發展、維護、更新修訂及執行各項災害復原程序。


      B.負責召集相關人員進行營運持續計畫之測試演練。


      C.負責原營運場所或異地備援場所之應變、處理、復原及運轉測試工作。


      D.負責災害現場證據收集,俾利未來訴訟與損害求償事宜。


      E.災害現場評估損害狀況及執行原營運場所之現場復原工作。


5.其他SMS、ISMS及PIMS負責人員


請參閱「INTG-4-002-001 資訊服務及安全暨個資管理事項分工表」。


(九)各單位之權責或配合事項


1.各單位之主要權責如下:


  (1)  協助服務管理執行小組、資安管理執行小組及個資管理執行小組召集人召開工作會議及辦理管理審查事宜。


  (2)  負責對內並協助對外之個人資料保護聯繫事宜。


  (3)  負責本部內部SMS、ISMS及PIMS安全事故通報後之協調處理事宜。


2.各單位應指派專人擔任SMS、ISMS及PIMS相關作業連繫窗口,配合辦理下列工作事項:


  (1)  辦理服務管理執行小組、資安管理執行小組及個資管理執行小組之交辦事項。


  (2)  彙集與轉呈各單位之意見或資料予服務管理執行小組、資安管理執行小組及個資管理執行小組,以利工作檢討。


  (3)  協助追蹤管理SMS、ISMS及PIMS相關稽核所提相關建議事項。


  (4)  及時通報SMS、ISMS及PIMS事故。


  (5)  協助各單位定期維護「個資清冊」內容。


  (6)  協助各單位於新增個人資料蒐集、處理及利用相關作業時,應實施個人資料影響評估,以確認相關作業之適法性。


3.本部人員應配合事項如下所述:


  (1)  應遵守「個人資料保護法」、其他相關法令之要求及本部個人資料保護與資訊安全相關規定,落實SMS、ISMS及PIMS相關作業規範。


  (2)  配合執行或參加SMS、ISMS及PIMS相關教育訓練。


  (3)  執行管理階層於SMS、ISMS及PIMS之決策及交辦事項。


  (4)  主動通報SMS、ISMS及PIMS事故。


4.各業務權責單位


  (1)  委外作業


       應要求委外廠商與人員遵循本部制訂之「資訊服務及安全暨個人資料管理政策」與相關作業規範,請參閱「INTG-2-009 委外管理程序」。


(十)事項分工


人員之權責應明確分工,並建立「INTG-4-002-001 資訊服務及安全暨個資管理事項分工表」,得視需要實施人員輪調,建立人力備援制度。


四、名詞定義


請參閱「INTG-4-003-001 名詞定義」。


五、溝通


為確保本部之內外部聯繫與溝通之順暢與有效,應將所有利害關係人/團體之聯繫、溝通管道與時機填寫於「INTG-4-002-003溝通管道、時機、對象表」,並按照其定義之時機執行。


六、管理審查


(一)為確保「資訊服務及安全暨個人資料管理政策」之落實,推動會每半年應至少召開一次管理審查會議,必要時得召開臨時會議,並得於會議中提報下列議題:


1.前次管理審查會議決議執行狀況。


2.影響SMS、ISMS及PIMS相關議題、制度、系統及文件之變化。包含新資訊安全產品或技術導入之評估、結果及審查。


3.SMS、ISMS及PIMS之績效及其趨勢


  (1)  SMS、ISMS及PIMS稽核結果及建議改善事項。


  (2)  缺失及矯正措施檢討。


  (3)  SMS、ISMS及PIMS目標執行狀況及關鍵績效指標評量報告。


  (4)  監控與量測之統計分析結果。


  (5)  風險評鑑之結果及風險處理之狀況。


4.來自主管機關之個資相關要求。


5.內部人員、主管機關及外部單位等利害相關團體的建議。


6.本部已發生之SMS、ISMS及PIMS相關事故(Incident)之處理狀況及檢討。


7.程序之檢討及審查。


8.客戶意見、抱怨及申訴之處理狀況。


9.持續改善之機會。


(二)管理審查會議之結論建議得如下:


1.SMS、ISMS、PIMS及流程之有效性改善措施。包含檢討績效指標量測項目、評量方式與目標水準是否需進行調整。


2.針對改善SMS、ISMS及PIMS之需要,協調所需之資源。


3.檢討風險改善項目與計畫是否需進行調整。


4.以下要求所造成服務之改善:


  (1)  營運需求。


  (2)  客戶需求。


  (3)  安全需求。


  (4)  業務需求。


  (5)  管理或法規需求。


  (6)  契約要求。


(三)管理審查會議為SMS、ISMS及PIMS制度重要之活動,文件發行應依「INTG-2-003 文件管理程序」辦理,會議紀錄應填寫「INTG-4-002-002 資訊服務及安全暨個資管理審查會議紀錄」。


七、參考文件


(一)INTG-1-001 資訊服務及安全暨個人資料管理政策。


(二)INTG-4-002-001 資訊服務及安全暨個資管理事項分工表。


(三)INTG-2-003 文件管理程序。


(四)INTG-2-009 委外管理程序。


八、附件


(一)INTG-4-002-001 資訊服務及安全暨個資管理事項分工表。


(二)INTG-4-002-002 資訊服務及安全暨個資管理審查會議紀錄。


(三)INTG-4-002-003溝通管道、時機、對象表。


(四)INTG-4-002-004資訊服務及安全暨個人資料管理推動會組織架構圖。


九、實施與更新


請參閱「INTG-2-003 文件管理程序」。