資訊安全責任等級分級 查檢系統 系統設計：經濟部標準檢驗局 資料來源：國家資通安全會報.

Presentation on theme: "資訊安全責任等級分級 查檢系統 系統設計：經濟部標準檢驗局 資料來源：國家資通安全會報."— Presentation transcript:

1 資訊安全責任等級分級 查檢系統 系統設計：經濟部標準檢驗局 資料來源：國家資通安全會報

2 我想瞭解「資訊安全責任等級」 分級內容  我想直接知道我的單位在 「資訊安全責任等級」分級內容 要求下，需做什麼。  請以 點選『』

3 歡迎您進入「資訊安全責任等級」 自動查檢系統 上一頁 下一頁

4    請點選貴機關所屬類別： 政府行政機關。〈包含中央一、二級機關及軍事國防〉 學術研究機關。〈包含教育部、各級學校及學研機構〉
營利事業機關。〈包含電力、自來水、石油、製造業、食品業、通信、航管、鐵公路、船舶、郵政、財政、金管及醫院〉 請以 點選『』

5 貴機關是否屬於『中央一、二級機關』〈軍事國防機關請直接點選『否』〉

6 貴機關是否擁有重要機敏資訊〈公務機關處理具國家安全機密性或重要敏感性之數位資料檔案或資料庫。〉

7 貴機關是否屬於『軍事國防機關』 是 否

8 貴機關是否負責維運極高度重要系統〈除國防外，凡涉及國家安全之外交、情報、國境安全、財稅、經濟、金融及重要民生基礎設施等重要機敏系統。〉

9 貴機關是否擁有機敏資訊〈政府機關具有影響社會秩序、民眾隱私之機敏資料或資料庫。〉

10 貴機關是否負責維運高度重要系統〈各政府機關凡涉及社會秩序民生體系運作及民眾隱私等高度重要系統。〉

11 貴機關是否擁有重要資訊〈涉及地方縣市社會秩序、人民財產安全之重要資訊。〉

12 貴機關是否負責維運中度重要系統〈涉及縣市級各類重要民生系統、社會秩序、民眾隱私等中度重要系統。〉

13 經查檢結果，貴單位資訊資產安全應由國防部自訂。
請區分A.B.C等級後，送『國家資通安全會報』列管。 前往A級 前往B級 前往C級

14 經查檢結果，貴單位資訊資產安全所屬的等級
A級 〈重要核心〉

15 經查檢結果，貴單位資訊資產安全所屬的等級
B級 〈核心〉

16 經查檢結果，貴單位資訊資產安全所屬的等級
C級 〈重要〉

17 經查檢結果，貴單位資訊資產安全所屬的等級
D級 〈一般〉

18 學研機關(構)資安等級區分方式說明表 前往A級 前往B級 前往C級 前往D級 等級區分 學研單位等級區分方式 A級 (重要核心)
負責教育政策審定單位(如教育部等)。 凡涉及各相關部會委託研究具國家安全機密性或重要敏感性之數位資料之執行單位。 教學醫院。 B級 (核心) 凡涉及社會秩序運作及民眾隱私等機敏系統之學研機構。 各大學(含科技大學)。 台灣學術網路各區域網路中心暨各縣市教育網路中心。 C級 (重要) 各技術學院及專科學校。 D級 (一般) 各高中職(含)以下學校。 前往A級 前往B級 前往C級 前往D級

19 歡迎您進入「資訊安全責任等級」分級內容。

20 首先，您可以依照下表『資訊資產價值分類』，瞭解資訊資產的『 4 』個等級。

21 資訊資產價值分類 資訊資產價值與其潛在影響等級之對應 級別 資訊資產價值分類內容 潛在影響 等級
A級 違反資訊安全保護政策，會對國家安全之重要機敏資訊或系統等造成工作營運停頓或嚴重之損害，影響業務推動持續一個月(含)以上之損害。 極高度 B級 違反資訊安全保護政策，會對社會秩序、民生體系運作及民眾隱私之機敏資訊或系統，影響業務推動持續一星期(含)以上之損害。 高度 C級 違反資訊安全保護政策，會對地方縣市級之社會秩序、人民生命財產之重要資訊或系統，影響業務推動持續一天(含)以上之損害。 中度 D級 違反資訊安全保護政策，造成意外的事件不影響業務工作或營運。 低度

22 如果您的單位是『政府』機關，您可以依照下表，瞭解貴單位資訊資產安全所屬的等級。

23 政府機關資安等級區分方式說明表 等級區分 政府機關等級區分方式 A級 (重要核心) B級 (核心) C級 (重要) D級 (一般)
公務機關處理具國家安全機密性或重要敏感性之數位資料之中央一、二級 機關(如總統府、行政院、考試院、審計部等)。 凡涉及國家安全之外交、情報、國境安全、財稅、經濟、金融、醫療及重要民生基礎設施等重要機敏系統(如行政院施政跨部會平台、公文交換、稅務電子閘門、自然人憑證管理、刑案資訊整合等系統)。 B級 (核心) 各政府機關(構)具有影響社會秩序、民眾隱私之機敏資料之維運機關 (如部分之中央一、二級機關、各部會之署局單位、各縣市政府、警察局、地方稅捐單位。 全國或地方凡涉及社會秩序民生體系運作及民眾隱私等機敏系統(如各民生體系運作計費登錄、地政、犯罪、地方稅務查詢等系統)。 C級 (重要) 部分中央一、二級機關(如蒙藏委員會、消保會、體委會等)。 涉及地方縣市社會秩序、人民財產安全之重要資訊維運單位 各部會之地方性作業單位(如各地區行政執行處) 。 氣象作業中心、管理處(如氣象預報中心、地震、海象測報中心) 。 各縣市議會、衛生局、文化局等。 D級 (一般) 地方鄉、鎮、區公所、代表會、衛生服務中心、鄉村里民代表會等。 地區性氣象站(如台北、新竹、台中、高雄、宜蘭、花蓮及台東氣象站)。

24 如果您的單位是『學術研究』機關，您可以依照下表，瞭解貴單位資訊資產安全所屬的等級。

25 學研機關(構)資安等級區分方式說明表 等級區分 學研單位等級區分方式 A級 (重要核心) B級 (核心) C級 (重要) D級 (一般)
負責教育政策審定單位(如教育部等)。 凡涉及各相關部會委託研究具國家安全機密性或重要敏感性之數位資料之執行單位。 教學醫院。 B級 (核心) 凡涉及社會秩序運作及民眾隱私等機敏系統之學研機構。 各大學(含科技大學)。 台灣學術網路各區域網路中心暨各縣市教育網路中心。 C級 (重要) 各技術學院及專科學校。 D級 (一般) 各高中職(含)以下學校。

26 如果您的單位是『事業』機關，您可以依照下表，瞭解貴單位資訊資產安全所屬的等級。

27 資安作業事業分組等級區分方式說明表 等級區分 分類 A級 (重要核心) B級 (核心) C級 (重要) D級 (一般) 事業(一) 電力
‧核能發電廠、電力 調度處、資訊系統處 ‧火力發電廠、資料處裡 中心、PC400部及伺服30 部以上 火水力發電廠、區營業處、總處、工程單位、 PC100部及伺服5部以上 火水力發電廠、區營業處、總處、工程單位 自來水 ‧省、市級單位 資訊人員40人以上 ‧管理處、營運所、水廠 ‧資訊人員２0人以上 ‧資訊人員１0人以上 管理處、營運所、水廠 石油 總公司、油品行銷 事業部、天然氣事 業部 ‧探勘事業部、煉油廠、天然氣 ‧事業部、儲運處、營業處、管理處 事業部、儲運處、營業處、管理處 糖業 總公司 資訊人員30人以上 ‧各糖廠 資訊人員10人以上 ‧營業處、所、訓練中心、服務處、工程處 綜合 ‧資訊人員20人以上 ‧委員會、公司、局、廠處 ‧中國造船公司 ‧分廠 事業(二) 通信 中華電信數據分公司 公司處、局、所 ‧各營業處、分所 ‧各地區服務中心 航管 飛航服務處 ‧貨運站 鐵公路 ‧總局 ‧局、工程處、監理所 ‧各地收費站、機務段、票 務中心 船舶 ‧各港務局、工程處 郵政 ‧中華郵政公司 ‧資訊人員100人以上 ‧各地郵局、投遞中心 事業 (三-1) 財政 資訊人員100人(含) 以上 ‧資訊人員50 (含)人以上 ‧資訊人員20人(含)以上 資訊人員10人(含)以上 (三-2) 金管 　資訊人員50 (含)人以上 事業(四) 醫院 醫學中心 區域醫院 資訊人員5人以上 各地區醫院 ‧其他醫院

28 至此，您應該可以知道貴單位資訊資產安全所屬的等級了。
接下來，您可以從下表知道，針對貴單位的資訊資產，您『需要採取何種對策』加以保護。

29 各類資安系統等級應執行之工作事項 A級 B級 C級 D級 (1,4,8,2小時)/每年 (2,6,12,4小時)/每年
資安專業訓練 96年資安專業鑑定一張 96年資安專業鑑定二張(註三) 專業證照 (1,4,8,2小時)/每年 (2,6,12,4小時)/每年 (4,6,16,4小時)/每年 (4,6,18,4小時)/每年 資安教育訓練(主官、主管、技術、一般) 自我檢 視 每年至少執行一次內稽 每年至少執行二次內稽 稽核方式 推動ISMS觀念宣導 各單位自行成立推動小組規劃作業 97年通過第三者認証 96年通過第三者認証(註二) ISMS推動作業 防火牆 防 毒 IDS,防火牆 SOC (OP)、 IDS、防火牆 NSOC/ SOC、IDS、防火牆 防護縱 深 強度等級4 A級 強度等級1 (註一) D級 強度等級2 C級 強度等級3 B級 防禦機制強 度 等級 內容 作業名稱

30    我想知道有關上表『各類資安系統等級應執行之工作事項』中，「註一」所提及的『防禦機制強度』說明。
我想知道有關上表『各類資安系統等級應執行之工作事項』中，「註二」所提及的『ISMS推動作業範圍』說明。  我想知道有關上表『各類資安系統等級應執行之工作事項』中，「註三」所提及的『專業證照』說明。  我已經完全瞭解

31 (Strength Mechanism Level，簡稱SML)
回上一頁 註一：資訊安全機制強度等級 (Strength Mechanism Level，簡稱SML) 強度等級1 經由良好的資訊安全作業可達成的基本強度，用以防衛不複雜的威脅，應能保護低價的資訊資產。 強度等級2 中等強度，可以抵抗諸如個人發動之攻擊活動的複雜威脅，能夠保護中等價值的資訊資產。 強度等級3 高強度，用以防禦來自駭客組織的威脅，能夠保護高價值的資訊資產。 強度等級4 極高強度，用以防禦來自國家級的威脅，能夠保護極高價值的資訊資產。

32 註二： ISMS推動作業之範圍 回上一頁 以部門別定義
以系統別定義 將與此系統業務有關之人員或部門全部納入，其範圍應涵蓋要保護之核心業務服務及所依賴之關鍵資產。 以產品/業務別定義 例如：以現金卡為ISMS範圍,則相關牽涉此業務之活動、人員或部門便須納入ISMS範圍，此方式適合資源有限或分階段導入ISMS之組織。 以實體區域定義 以某機關或大樓(某樓層)為ISMS建置範圍，此種定義方式應將此區域內所有系統業務有關之人員或部門全部納入，此方式適用於業務明確,且可於定義之區域內完全獨立作業者 。

33 回上一頁 註三：資安專業證照獲得説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

34 希望經由上述之解說中，能幫助您對組織系統之『資訊安全』有初步體認。
上一頁 回首頁 下一頁

35 END   我已經完全瞭解「資訊安全責任等級」分級內容。〈離開系統〉
我不甚瞭解我的單位在「資訊安全責任等級」分級內容要求下需做什麼，希望尋求系統協助。 

36 貴機關是否屬於『重要民生關鍵系統』〈電力、自來水、石油、糖業、通信、航管、鐵公路、船舶、郵政、財政、金管及醫院請直接點選『否』〉

37 貴機關是否屬於『電力、自來水、石油、食品業、製造業』

38 貴機關是否屬於『通信、航管、鐵公路、船舶、郵政』

39 貴機關是否屬於『財政、金管』 是 否

40 貴機關是否屬於『醫院』 是 否

41 貴醫院是否屬於『醫學中心或資訊人員30人以上』

42 貴醫院是否屬於『區域醫院或資訊人員5人以上』

43 貴醫院是否屬於『地區醫院』 是 否

44 貴醫院是否屬於『其他醫院』 是 否

45 貴機關是否屬於『維運重要核心營運單位』
(電力) 核能發電、電力調度處、資訊系統處 (自來水) 省、市級單位 資訊人員≥40人 (石油) 總公司、油品行銷事業部、天然氣事業部 是 否

46 貴機關是否屬於『維運核心營運單位』 是 否 (電力) 火力發電廠、資料處理中心、PC400部及伺服器30部以上 (自來水)
管理處、營運所、水廠 資訊人員≥20人 (石油) 探勘事業處、煉油廠、天然氣 (糖業) 總公司 資訊人員≥30人 (綜合) 是 否

47 貴機關是否屬於『維運重要營運單位』 是 否 (電力) 火水力發電場、區營業處、總處、工程單位、PC100部及伺服器5部以上 (自來水)
管理處、營運所、水廠 資訊人員≥10人 (石油) 事業部、儲運處、營業處、管理處 (糖業) 各糖廠 (綜合) 委員會、公司、局、廠處 中國造船公司 是 否

48 貴機關是否屬於『維運一般營運單位』 是 否 (電力) 火水力發電廠、區營業處、總處、工程單位 (自來水) 管理處、營運所、水廠
資訊人員<10人 (糖業) 營業處、所、訓練中心、服務處、工程處 資訊人員≥10人 (綜合) 分廠 是 否

49 貴機關是否屬於 (通信) 中華電信數據分公司 (航管) 飛航服務處 (郵政) 中華郵政公司 資訊人員≥100人 是 否

50 貴機關是否屬於 是 否 (通信) 公司處、局、所 資訊人員≥10人以上 (航管) 貨運站 (鐵公路) 總局 (船舶) 各港務局、工程處
(郵政) 各地郵局、投遞中心 是 否

51 貴機關是否屬於 (通信) 各營業處、分所 (鐵公路) 局、工程處、監理所 是 否

52 貴機關是否屬於 (通信) 各地區服務中心 (鐵公路) 各地收費站、機務段、票務中心 是 否

53 貴機關是否屬於 (財政) 政策單位、總行 資訊人員≥100人 (金管) 是 否

54 貴機關是否屬於 (財政) 其他財稅、局 資訊人員≥50人 (金管) 其他銀行、局 是 否

55 貴機關是否屬於 (財政) 各分局、票務交換所、配銷處、委員會 資訊人員≥20人 (金管) 各分局行、分局、票務交換所 是 否

56 貴機關是否屬於 (財政) 資訊人員≥10人 (金管) 是 否

57 經您查檢結果，無貴單位所屬資訊資產安全所屬的等級。
重新選擇 回首頁 結束

58 A級 〈重要核心〉 貴單位資訊資產安全所屬為A級，接下來，本系統將簡介貴單位資安系統應執行之工作事項。 下一頁

59 貴單位資訊資產『防禦機制強度』等級為『4』，應施以極高強度保護，用以防禦來自國家級的威脅，能夠保護極高價值的資訊資產。
上一頁 回首頁 下一頁

60 貴單位對於資訊資產『防護』，應施以NSOC/SOC、IDS、防火牆、防毒。
防護縱深 貴單位對於資訊資產『防護』，應施以NSOC/SOC、IDS、防火牆、防毒。 上一頁 回首頁 下一頁

61 貴單位資訊系統，應於96年前通過第三者驗証。
ISMS推動作業 貴單位資訊系統，應於96年前通過第三者驗証。 我想瞭解推動之範圍 我想瞭解第三者驗証 上一頁 回首頁 下一頁

62 ISMS推動作業之範圍 回上一頁 以部門別定義
以系統別定義 將與此系統業務有關之人員或部門全部納入，其範圍應涵蓋要保護之核心業務服務及所依賴之關鍵資產。 以產品/業務別定義 例如：以現金卡為ISMS範圍,則相關牽涉此業務之活動、人員或部門便須納入ISMS範圍，此方式適合資源有限或分階段導入ISMS之組織。 以實體區域定義 以某機關或大樓(某樓層)為ISMS建置範圍，此種定義方式應將此區域內所有系統業務有關之人員或部門全部納入，此方式適用於業務明確,且可於定義之區域內完全獨立作業者 。

63 回上一頁 第三者驗證説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

64 貴單位對於資訊資產之內部『稽核』，每年至少應執行2次。
稽核方式 貴單位對於資訊資產之內部『稽核』，每年至少應執行2次。 上一頁 回首頁 下一頁

65 貴單位對於資訊安全之『教育訓練』之要求 。
資安教育訓練 貴單位對於資訊安全之『教育訓練』之要求 。 主官 4小時/年 主管 6小時/年 技術人員 18小時/年 一般人員 上一頁 回首頁 下一頁

66 貴單位資訊系統，應於96年前取得『2份』第三者驗証證書。
專業證照 貴單位資訊系統，應於96年前取得『2份』第三者驗証證書。 我想瞭解專業證照 上一頁 回首頁 下一頁

67 回上一頁 資安專業證照獲得説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

68 B級 〈核心〉 貴單位資訊資產安全所屬為B級，接下來，本系統將簡介貴單位資安系統應執行之工作事項。 下一頁

69 貴單位資訊資產『防禦機制強度』等級為『3』，應施以高強度，用以防禦來自駭客組織的威脅，能夠保護高價值的資訊資產。
上一頁 回首頁 下一頁

70 貴單位對於資訊資產『防護』，應施以SOC (OP)、IDS、防火牆、防毒。
防護縱深 貴單位對於資訊資產『防護』，應施以SOC (OP)、IDS、防火牆、防毒。 上一頁 回首頁 下一頁

71 貴單位資訊系統，應於97年前通過第三者驗証。
ISMS推動作業 貴單位資訊系統，應於97年前通過第三者驗証。 我想瞭解推動之範圍 我想瞭解第三者驗証 上一頁 回首頁 下一頁

72 ISMS推動作業之範圍 回上一頁 以部門別定義
以系統別定義 將與此系統業務有關之人員或部門全部納入，其範圍應涵蓋要保護之核心業務服務及所依賴之關鍵資產。 以產品/業務別定義 例如：以現金卡為ISMS範圍,則相關牽涉此業務之活動、人員或部門便須納入ISMS範圍，此方式適合資源有限或分階段導入ISMS之組織。 以實體區域定義 以某機關或大樓(某樓層)為ISMS建置範圍，此種定義方式應將此區域內所有系統業務有關之人員或部門全部納入，此方式適用於業務明確,且可於定義之區域內完全獨立作業者 。

73 回上一頁 第三者驗證説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

74 貴單位對於資訊資產之內部『稽核』，每年至少應執行1次。
稽核方式 貴單位對於資訊資產之內部『稽核』，每年至少應執行1次。 上一頁 回首頁 下一頁

75 貴單位對於資訊安全之『教育訓練』之要求 。
資安教育訓練 貴單位對於資訊安全之『教育訓練』之要求 。 主官 4小時/年 主管 6小時/年 技術人員 16小時/年 一般人員 上一頁 回首頁 下一頁

76 貴單位資訊系統，應於96年前取得『1份』第三者認証證書。
專業證照 貴單位資訊系統，應於96年前取得『1份』第三者認証證書。 我想瞭解專業證照 上一頁 回首頁 下一頁

77 回上一頁 資安專業證照獲得説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

78 C級 〈重要〉 貴單位資訊資產安全所屬為C級，接下來，本系統將簡介貴單位資安系統應執行之工作事項。 下一頁

79 貴單位資訊資產『防禦機制強度』等級為『2』，應施以中等強度，可以抵抗諸如個人發動之攻擊活動的複雜威脅，能夠保護中等價值的資訊資產。
上一頁 回首頁 下一頁

80 貴單位對於資訊資產『防護』，應施以IDS、防火牆、防毒。
防護縱深 貴單位對於資訊資產『防護』，應施以IDS、防火牆、防毒。 上一頁 回首頁 下一頁

81 ISMS推動作業 貴單位應自行成立推動小組規劃作業。 我想瞭解推動之範圍 上一頁 回首頁 下一頁

82 貴單位對於資訊資產之內部『稽核』，每年應自我檢視。
稽核方式 貴單位對於資訊資產之內部『稽核』，每年應自我檢視。 上一頁 回首頁 下一頁

83 貴單位對於資訊安全之『教育訓練』之要求 。
資安教育訓練 貴單位對於資訊安全之『教育訓練』之要求 。 主官 2小時/年 主管 6小時/年 技術人員 12小時/年 一般人員 4小時/年 上一頁 回首頁 下一頁

84 ISMS推動作業之範圍 回上一頁 以部門別定義
以系統別定義 將與此系統業務有關之人員或部門全部納入，其範圍應涵蓋要保護之核心業務服務及所依賴之關鍵資產。 以產品/業務別定義 例如：以現金卡為ISMS範圍,則相關牽涉此業務之活動、人員或部門便須納入ISMS範圍，此方式適合資源有限或分階段導入ISMS之組織。 以實體區域定義 以某機關或大樓(某樓層)為ISMS建置範圍，此種定義方式應將此區域內所有系統業務有關之人員或部門全部納入，此方式適用於業務明確,且可於定義之區域內完全獨立作業者 。

85 回上一頁 第三者驗證説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

86 D級 〈一般〉 貴單位資訊資產安全所屬為D級，接下來，本系統將簡介貴單位資安系統應執行之工作事項。 下一頁

87 貴單位資訊資產『防禦機制強度』等級為『1』，應施以良好的資訊安全作業可達成的基本強度，用以防衛不複雜的威脅，應能保護低價的資訊資產。
上一頁 回首頁 下一頁

88 貴單位對於資訊資產『防護』，應施以防火牆、防毒。
防護縱深 貴單位對於資訊資產『防護』，應施以防火牆、防毒。 上一頁 回首頁 下一頁

89 ISMS推動作業 貴單位應推動ISMS觀念宣導。 我想瞭解推動之範圍 上一頁 回首頁 下一頁

90 貴單位對於資訊資產之內部『稽核』，每年應自我檢視。
稽核方式 貴單位對於資訊資產之內部『稽核』，每年應自我檢視。 上一頁 回首頁 下一頁

91 貴單位對於資訊安全之『教育訓練』之要求 。
資安教育訓練 貴單位對於資訊安全之『教育訓練』之要求 。 主官 1小時/年 主管 4小時/年 技術人員 8小時/年 一般人員 2小時/年 上一頁 回首頁 下一頁

92 ISMS推動作業之範圍 回上一頁 以部門別定義
以系統別定義 將與此系統業務有關之人員或部門全部納入，其範圍應涵蓋要保護之核心業務服務及所依賴之關鍵資產。 以產品/業務別定義 例如：以現金卡為ISMS範圍,則相關牽涉此業務之活動、人員或部門便須納入ISMS範圍，此方式適合資源有限或分階段導入ISMS之組織。 以實體區域定義 以某機關或大樓(某樓層)為ISMS建置範圍，此種定義方式應將此區域內所有系統業務有關之人員或部門全部納入，此方式適用於業務明確,且可於定義之區域內完全獨立作業者 。

93 回上一頁 第三者驗證説明 資安專業證照是以獲得國內外第三者之認/驗證單位頒發之證照，可分成特定產品與獨立證照二類，本會報係採用後者，因與廠商、產品無關，涵蓋面較廣，較具中立性，例如資安管理類之CNS17800(BS7799)LA、CISSP(電腦資訊系統安全專業証照)；資安技術類如從事駭客防護之CEH(認證道德駭客)或從事網路鑑識工作之GCFA(鑑識分析者)等相關驗證，惟各相關驗證機構需獲得財團法人全國認證基金會之認證，以維持資通安全管理系統驗證之品質。

94 為組織取得CNS17800〈資訊安全〉認可證書 歡迎您透過下列任何一種方式與我們取得聯繫，我們將竭誠為您服務！ 經濟部標準檢驗局第五組第三科
如果您需要獲得任何有關資訊安全管理系統的資訊？ 歡迎您透過下列任何一種方式與我們取得聯繫，我們將竭誠為您服務！ 經濟部標準檢驗局第五組第三科 TEL： ~810 FAX： WEB：