资讯安全管理政策与审查

5-1資訊安全管理委辦單位：教育部顧問室資通安全聯盟執行單位：淡江大學資訊管理學系第一页，共九十五页。5-2課程模組大綱Module1：資訊安全管理概論Module2：資訊安全風險Module3：先期規劃Module4：風險評鑑Module5：資訊安全政策Module6：資訊安全管理組織Module7：資產管理Module8：人力資源管理Module9：實體與環境安全管理第二页，共九十五页。5-3Module10：通信與作業管理Module11：存取控制Module12：資訊系統的取得、開發及維護Module13：資安事故管理Module14：營運持續管理Module15：法令、政策、標準、及技術的符合性Module16：內部稽核Module17：管理審查Module18：持續改進第三页，共九十五页。5-4Module5：資訊安全政策

第四页，共九十五页。5-5學習目的本模組目的在於學習資訊安全政策之基本概念、資安政策之實施要點，以及資安政策之範例等。本模組的重點是瞭解什麼是資訊安全政策，以及資安政策之實施要點，包括：資安政策文件內容、資安政策之公布傳達，以及資安政策之審查等。並透過某公司與某大學資訊中心IDC機房ISMS政策之範例，具體瞭解資安政策。第五页，共九十五页。5-6Module5：資訊安全政策

Module5-1：概述Module5-2：實施要點

Module5-3：範例參考文獻習題第六页，共九十五页。5-7Module5-1：概述第七页，共九十五页。5-8Module5-1：概述資安政策（InformationSecurityPolicy）是組織建置資安管理制度不可或缺的重要元素。資安政策是管理階層依照組織營運要求（如：保護公司資產、保護客戶資訊、…）、相關法律、法規（如：個人資料保護法、智慧財產權、組織營業秘密保護法、…）與客戶合約要求，對組織資安管理提出執行方向與支持承諾。Module5-1第八页，共九十五页。5-9如同組織的經營願景與方向，管理階層必須設定並提出與營運目標一致之明確資安政策指示。經由溝通與發布至整個組織，展現對資訊安全的支持與承諾。當組織訂有明確的資安政策後，所有同仁將可清楚認知資安責任。只要落實政策要求，將可達成資安管理目標，提供交易夥伴信心，增加商業機會及營運競爭力。

Module5-1第九页，共九十五页。5-10Module5-2：實施要點第十页，共九十五页。5-11Module5-2：實施要點

資安政策文件應陳述管理階層的承諾，提出組織管理資訊安全的作法，由管理階層核准，並公布傳達給所有員工與相關外部團體。

Module5-2第十一页，共九十五页。5-12一、資安政策文件內容資安政策文件一般包括下列事項的具體陳述：（可參閱例5-1）資安政策目的及範圍：闡述資安政策之目的，明確界定資安範圍，強調保護資訊之安全制度重要性。Module5-2第十二页，共九十五页。5-13管理階層意向的聲明：資安政策應能明確看出管理階層之資安態度及期望。除其展現支持與營運策略目標一致的資安目的及原則外，並應適當提供資源，表達對資安之支持與承諾。Module5-2-一第十三页，共九十五页。5-14資安目標：說明組織所設定的資安目標，以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化，以利審查資安活動之有效性及適切性。如：年度資安事件數量、重要資訊系統之可用率，或資訊處理之正確率等。Module5-2-一第十四页，共九十五页。5-15風險評鑑與風險管理的結構：說明組織如何運用風險評鑑方法對風險進行評估，及如何設定各項控制目標與控制措施，對風險進行處理及管理。有關風險評鑑及風險處理，請參閱Module4。Module5-2-一第十五页，共九十五页。5-16資安責任：界定資安管理的一般與特定責任，資安政策尚應包括核准、審查及評估安全政策之管理責任。例如：最高管理階層負有核准、審查之責，各管理階層負有評估、修正之責，所有同仁負有遵循責任等。Module5-2-一第十六页，共九十五页。5-17法令法規遵循性(Compliance)：考量營運與法律或法規要求，以及合約的安全義務，簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。

遵循法律、法規及合約要求。安全教育、訓練及認知要求。營運持續管理（BusinessContinuityManagement,BCM）。違反資訊安全政策的後果。

Module5-2-一第十七页，共九十五页。5-18政策支援文件：資安政策可能會需要其他支援補充文件。例如：針對特定資訊系統所展開的細部安全政策和程序，或使用者應遵循的安全規則，可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者，以其方便取得及易於瞭解的形式，向整個組織的使用者傳達。

Module5-2-一第十八页，共九十五页。5-19其他注意事項：資安政策可視為一般管理政策文件的一部分。若資安政策散布至組織外，應注意避免揭露組織敏感性資訊。

Module5-2-一第十九页，共九十五页。5-20二、資安政策之公布傳達

資安政策制定後，應透過適當方式公布及傳達至所有相關組織及人員（包括外部團體及第三方使用者），以使同仁清楚瞭解政策內容，有效落實安全要求。Module5-2第二十页，共九十五页。5-21政策公布及傳達方式，可考慮組織特性及文化而定，可參考下列作法：張貼公告。以電子形式傳遞給所有人員週知（例如：電子郵件）。政令宣導方式。管理會議中宣達。Module5-2-二第二十一页，共九十五页。5-22教育訓練方式（須著重於訓練之有效性）。主動告知模式（例如：外部人員或訪客，於到訪時主動告知資安政策，並要求遵循配合）。合約或協議形式（例如：委外合約中提及資安政策相關要求）。Module5-2-二第二十二页，共九十五页。5-23傳達及溝通方式之重點，在使相關人員能夠意識其資安責任，任何形式的傳達溝通，應避免流於形式，而應著重效果。特別值得注意的是，如何使外部團體或人員（包括：委外廠商、第三方使用者或訪客等）瞭解組織的資安政策及要求，傳達方式應考慮其可行性及有效性。例如：在訪客會客櫃台處公告相關資安政策及要求，並由接待人員提醒訪客遵守。

Module5-2-二第二十三页，共九十五页。5-24三、資安政策之審查資安政策攸關資安管理之成敗，故必須確保其一貫性並適用於整個組織。資安政策應於規劃期間或當發生重大變更時進行審查，以確保其持續的適用性、充分性及有效性。Module5-2第二十四页，共九十五页。5-25例如：組織可定期於年度管理階層審查會議中，審查資安政策是否持續適用，或討論是否須作任何調整修改。或當組織發生重大變更時，如：組織策略、規模、地點、高階管理人員、產品、技術或服務等營運內容改變時，立即進行不定期審查。Module5-2-三第二十五页，共九十五页。5-26資安政策審查應包括評估組織資安及管理方法之改進空間，以因應組織環境、營運環境、法律條件或技術環境的改變。資安政策審查應與管理審查結果方向一致。有關管理審查，將詳細說明於Module17。Module5-2-三第二十六页，共九十五页。5-27Module5-3：範例一--XX公司資訊安全政策第二十七页，共九十五页。5-28Module5-3：範例一--XX公司資訊安全政策目的(Objective)此文件說明”XX公司資訊安全管理系統”之資安政策，係依據資訊安全管理標準ISO27001：2005（CNS27001）制定，並依此作為執行資訊安全管理系統之方向。Module5-3第二十八页，共九十五页。5-29範圍(Scope)本資訊安全管理系統適用於本公司全部範圍及所有業務，包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等所有相關資訊資產。Module5-3-一第二十九页，共九十五页。5-30資安政策聲明(InformationSecurityPolicyStatement)資訊安全人人有責Module5-3-一第三十页，共九十五页。5-31本公司將確保:服務過程，安全無虞服務資訊，精準正確服務結果，迅速及時為保護本公司的相關資訊資產，包括實體軟硬體設施、資料、資訊等安全，免於因外在的威脅或內部人員不當的管理遭受洩密、破壞或遺失等風險，特制訂本政策，以供全體同仁共同遵循。Module5-3-一第三十一页，共九十五页。5-32安全目標(SecurityObjective)零資安事件帳務處理之正確率99.95%帳務資訊系統之可用率99.97%Module5-3-一第三十二页，共九十五页。5-33責任(Responsibilities)本公司高階主管應適時覆核、修訂本政策，以確保該政策符合現行需求。資訊安全管理人員應透過適當程序落實本政策之要求。全體員工、約聘人員及簽約廠商都有責任遵循本安全政策。全體員工都有責任透過適當回報系統，回報所發現的資訊安全意外事故或資訊安全弱點。任何危及資訊安全的行為，都應訴諸適當的懲罰程序或法律行動。相關的資訊安全措施或規範應符合現行法令的要求。Module5-3-一第三十三页，共九十五页。5-34本公司成立資安委員會，依資安政策及資安管理手冊相關要求，負責管理本公司資訊安全，其組織職責如下：主席（資訊安全管理代表）：總經理。負責安全政策制定，定期主持安全管理會報、…。召集人（資訊安全管理代表代理人）：副總經理。負責………。委員（各部門主管）：業務部經理：XXX。負責………。研發部經理：XXX。負責………。資訊部經理：XXX。負責………。Module5-3-一第三十四页，共九十五页。5-35風險評鑑(RiskAssessment)本公司依據已鑑別之企業資訊安全以及法律與法規要求，特制定適合本資訊安全管理系統之系統化風險評鑑方法。並設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。詳細作業程序參考下列文件:風險評鑑程序 文件參考資料RA011資產鑑別作業辦法 文件參考資料AI111………

………

資產清單 記錄編號AL001風險評鑑報告 記錄編號RA001Module5-3-一第三十五页，共九十五页。5-36風險處理與管理(RiskTreatment&Management)控制措施作業辦法文件參考資料00113風險管理程序文件參考資料RM001……… ………安全會報總結報告Module5-3-一第三十六页，共九十五页。5-37適用性聲明(StatementofApplicability)文件參考資料00110Module5-3-一第三十七页，共九十五页。5-38參考文件(References)資安組織程序 參考編號XXXX資產管理程序 參考編號XXXX人員安全程序 參考編號XXXX實體安全程序 參考編號XXXX資訊備份程序 參考編號XXXX存取管制程序 參考編號XXXX系統開發程序 參考編號XXXX事故管理程序 參考編號XXXX營運持續程序 參考編號XXXX風險評鑑程序 參考編號XXXX風險管理程序 參考編號XXXX文件管制程序 參考編號XXXX……… ………Module5-3-一第三十八页，共九十五页。5-39Module5-3：範例二–

XX大學資訊中心IDC機房ISMS政策第三十九页，共九十五页。5-40目標範圍權責管理原則要求事項參考文件附件Module5-3：範例二–

XX大學資訊中心IDC機房ISMS政策Module5-3第四十页，共九十五页。5-41目標XX大學資訊中心IDC（InternetDataCenter,網際網路數據中心）機房乃提供本校校級伺服器集中管理之機房，其資訊的品質及資訊安全是資訊中心的命脈，因此資訊中心的資訊安全管理系統(InformationSecurityManagementSystems,ISMS)之首要目標，在於確保IDC持續運作之安全性、穩定性及備份的機密性、完整性及可用性，尤以機房實體安全是IDC安全管理的重點。Module5-3-二第四十一页，共九十五页。5-42範圍ISMS範圍：位於XX大學XX大樓的資訊中心IDC機房實體安全及資料備份與復原。

此範圍為資訊中心之命脈。基於安全需求，由資訊中心先行推動ISMS，至於其他資訊系統、網路，因涉及全校各單位(教職員生)，尚須多方面溝通協調及配合，將視協商情況逐步納入驗證範圍。適用範圍：XX大學資訊中心IDC之實體維運、TSM（TivoliStorageManager,Tivoli公司的儲存體管理系統）資料備份、回復作業相關人員、聘僱人員及於本機房作業之非本中心人員。Module5-3-二第四十二页，共九十五页。5-43權責本ISMS政策由資訊安全委員會負責審核與修訂，經XX大學資訊中心主任覆核後發佈。Module5-3-二第四十三页，共九十五页。5-44管理原則必須建立適當的資訊安全管理組織，包括對於資訊安全的控制方法，執行必要的技術性檢查，對於資訊安全事件進行通報、處置、以及對於ISMS進行稽核與審查。對於所面臨之資訊風險，必須進行有系統的風險評估。風險評估須將法律責任及業務營運一併列入資訊安全的考量。資訊風險管理必須以風險評估之結果作為決策之依據，並兼顧其成本效益。Module5-3-二第四十四页，共九十五页。5-45對於資訊系統之新增及變更須進行安全驗證，以確保其設計符合資訊安全之要求，並經適當層級人員的核准後方可上線。對於機房實體安全及資料備份、回復業務之持續營運，必須制定業務持續營運計畫並適時演練以維持其有效性。中心人員對於ISMS政策及相關規定的遵循，主管負有行政監督之職責，並須確保ISMS政策之確實執行。ISMS須遵照「規劃(Plan)、建置(Do)、監督(Check)、改善(Act)」之管理循環原則。人員違反本政策相關規定，依情節輕重報本校相關單位處置。將國際資訊安全標準規範作為ISMS的重要參考。Module5-3-二第四十五页，共九十五页。5-46要求事項資訊安全責任及組織設置資訊安全委員會，負責ISMS相關事項之規劃、督導及協調溝通。資訊安全委員會下設資訊安全官，除協助推動資訊安全委員會決議事項外，並負責督導所設置資訊安全作業小組之資訊安全相關作業，對資訊安全狀況進行預警、監控，並依據資訊安全委員會的授權對資訊安全狀況與事件進行處置。資訊安全委員會下設資訊安全稽核小組，資訊安全稽核小組負責評估ISMS之落實與遵行情形。資訊安全相關作業由各作業負責人負責執行。人員之資訊安全職責須在工作職掌說明中明確描述，對各工作角色須符合適當的權責區分。有關資訊安全組織的細部設計及運作方式，規範於「資訊安全組織辦法」。Module5-3-二第四十六页，共九十五页。5-47ISMS整體目標ISMS整體目標的訂定應考量ISMS政策、風險評鑑結果、資安事件及事故發生之狀況，並依各目標項目建立「ISMS資訊安全目標KPI衡量表」(詳附件一)，提報資訊安全管理審查會議進行審查。Module5-3-二第四十七页，共九十五页。5-48電力系統無中斷服務。空調系統無中斷服務。IDC機房內設施未因門禁管制作業之疏失導致失竊或遭不當破壞。作業管理組備份作業所負責之用戶端備份資料無不當洩漏情事。作業管理組備份作業所負責之重要用戶端備份資料，可於該用戶端作業需要時，於十二小時內提供。Module5-3-二第四十八页，共九十五页。5-49維持每年EMS（EnvironmentMonitoringSystem,環境監控系統）之中斷時間不超過四十小時。維持CCTV（ClosedCircuitTelevision,閉路電視）安全監控系統無中斷服務，以及任何時間起算一個月內，錄影資料之完整保存。EMS環境監控系統、CCTV安全監控系統無任何電腦病毒感染事件。EMS環境監控系統、CCTV安全監控系統、TSM（TivoliStorageManager）備份作業系統未因系統入侵事件，造成上述系統無法提供服務。Module5-3-二第四十九页，共九十五页。5-50資訊資產分類分級資訊資產須指派擁有者、使用者，且須依照資訊資產分類分級管理辦法，維持資訊資產清冊的正確性。資訊資產分為資訊類資產、軟體資產、硬體資產及服務資產等四類，並依據資訊資產清冊之分級制定管理方式。有關各類別的資訊資產管理原則，規範於「資訊資產分類分級辦法」。Module5-3-二第五十页，共九十五页。5-51存取控管應針對使用者或群組所能存取的資料、系統及實體區域環境設定存取權限。存取權限之設計須依據職務所需最少資訊原則。人員若有職位變動，須立即變更其存取權限。為確保存取權限之適當、正確，人員之存取權限應有定期覆核機制。有關資訊存取管理原則，規範於「資訊存取控制安全政策」。Module5-3-二第五十一页，共九十五页。5-52風險評估及風險管理須對於相關之營運，執行資訊安全風險評估及風險管理。風險評估過程須包括資訊資產清點、威脅評估與弱點評估、既有控制方法確認、既有控制方法有效性評估、風險程度評估、可行性控制方法建議等步驟。風險管理須包括設定安全保障水準、評估控制方法的成本效益、考量相關的法律因素等。營運組織或營運環境變遷，致作業程序有重大變更時，應比照上述原則重新進行風險評估及風險管理。有關風險評估及風險管理之具體執行步驟及要求，規範於「資訊安全風險評估暨管理辦法」。Module5-3-二第五十二页，共九十五页。5-53文件及紀錄管制作業管理組之文件及紀錄管理，依照「ISMS文件及紀錄管理辦法」之規定辦理。文件及紀錄管制之範圍，適用於XX大學資訊中心ISMS所發行之所有文件、紀錄、請購及相關驗收結案文件、以及廠商技術文件。相關文件之層級、機密等級、文件建立/修訂/審查/頒布、文件之納管/編號/版本、調閱、保存、銷毀以及紀錄的歸檔、機密等級、管制作業及編號方式，規範於「ISMS文件及紀錄管理辦法」。Module5-3-二第五十三页，共九十五页。5-54實體安全採取適當的門禁管制，以防止對資訊資產不當存取或造成損害，重要的資訊處理設施應設置於有適切門禁管制之場所。非經授權之人員，須由授權之相關業務人員陪同且登記，始可進出IDC機房。非資訊中心人員及非例行業務執行人員，不得進出作業管理組辦公區域，須先至服務台隔離查詢，確認進入許可後並登記後，始可進出辦公區域。人員須遵守電腦螢幕保護及桌面淨空原則，抽屜及櫥櫃之保管人在離開時須上鎖，資訊安全官應監督上述規範之落實。有關實體安全之具體要求，規範於「實體安全管理辦法」。Module5-3-二第五十四页，共九十五页。5-55網路安全採取適當的網路防護措施，以防止相關電腦系統遭受不當存取或損害，重要之主機系統應有適切之防護措施。有關網路安全之具體要求，規範於「網路管理辦法」。Module5-3-二第五十五页，共九十五页。5-56病毒及惡意軟體之防範電腦系統須建置防範電腦病毒及惡意軟體之機制。維運相關人員並須依照規定更新電腦病毒碼與系統漏洞。如為測試目的所進行之軟體安裝，應於隔離之測試系統上進行。除了所核准並經合法授權之系統及應用軟體外，禁止使用其它軟體。單位主管應確保所屬之電腦系統合於規定，應不定期依事先核准之系統及應用軟體清單做查核。有關防範病毒及惡意軟體之具體要求，規範於「電腦病毒防治管理辦法」。Module5-3-二第五十六页，共九十五页。5-57人員資格及訓練為了使ISMS相關人員具備足夠之勝任度並且瞭解其所擔任之工作對於ISMS運作的貢獻及重要性，於「資訊安全人員資格暨教育訓練管理辦法」中，明定相關人員應具備之基本專業技能及相關經驗，以及教育訓練規畫方式，以利人力素質之提昇。Module5-3-二第五十七页，共九十五页。5-58網路及個人電腦使用網路及個人電腦僅供處理公務使用，禁止非公務用途之使用。有關人員使用網路及個人電腦，規範於「個人電腦管理辦法」。Module5-3-二第五十八页，共九十五页。5-59資訊安全事件或事故通報及處理資訊安全事件或事故在發現時須立即通報，依照程序研判發生原因、損害程度及可能影響範圍，並採取適當之控制對策，所有採取之行動及所作之研判必須加以記錄。有關資訊安全事件通報及處理之具體執行步驟及要求，規範於「資訊安全事件處理辦法」。Module5-3-二第五十九页，共九十五页。5-60營運持續管理須依照營運衝擊分析之結果制定災害復原程序，此程序需能確保服務符合相關人員的需求，並對所訂之程序進行測試及評估。程序中相關人員，須熟悉在該程序中所負責之工作內容及執行步驟。有關營運持續之管理作業，規範於「業務持續運作管理辦法」。Module5-3-二第六十页，共九十五页。5-61資訊安全稽核相關作業負責人須定期對ISMS之實際運作進行評估，評估之結果應由資訊安全委員會覆核。資訊安全稽核小組或委外資訊稽核專家，應依照ISMS的符合性及評估的有效性，執行稽核。有關資訊安全稽核作業規範於「ISMS內部稽核管理辦法」。Module5-3-二第六十一页，共九十五页。5-62矯正及預防行動對於ISMS運作過程中，經由稽核、管理審查、日常的監督、風險評估活動及實際執行各項作業中，所發現的不符合或潛在不符合事項及發生之資訊安全事件等進行矯正或預防行動，以持續改善ISMS的運作成效。有關資訊安全矯正及預防措施，規範於「矯正及預防措施管理辦法」。Module5-3-二第六十二页，共九十五页。5-63資訊安全管理審查資訊安全委員會須對ISMS之完整性及有效性執行審查，以確保ISMS足以達成資訊安全目標。有關資訊安全目標達成之衡量指標，記載於「ISMS資訊安全目標KPI衡量表」。有關本項審查內容及審查頻率，規範於「資訊安全管理審查辦法」。Module5-3-二第六十三页，共九十五页。5-64遵循人員須遵守資訊安全相關法令之規範，特別對於電腦處理個人資料保護法、智慧財產權的規定，應嚴格遵守，並應簽署資訊安全聲明書，以確保均能了解遵循上述法令規範之義務。有關人員資訊安全聲明之內容，規範於「員工資訊安全聲明辦法」。Module5-3-二第六十四页，共九十五页。5-65違反違反本ISMS政策及資訊安全相關規範之人員，提報資訊安全委員會檢討。視情節重大程度提報本校人評會懲處，對於違反法令之人員亦報請本校相關單位處理。Module5-3-二第六十五页，共九十五页。5-66參考文件資訊安全組織辦法資訊資產分類分級辦法資訊存取控制安全政策資訊安全風險評估暨管理辦法ISMS文件及紀錄管理辦法實體安全管理辦法網路管理辦法電腦病毒防治管理辦法Module5-3-二第六十六页，共九十五页。5-67資訊安全人員資格暨教育訓練管理辦法個人電腦管理辦法資訊安全事件處理辦法業務持續運作管理辦法ISMS內部稽核管理辦法矯正及預防措施管理辦法資訊安全管理審查辦法員工資訊安全聲明辦法Module5-3-二第六十七页，共九十五页。5-68衡量期間：項次目標項目KPI指標KPI指標說明計算

單位目

標

值實

際

值是否達成目標1電力系統無中斷服務。電力系統中斷服務次數IDC機房電力系統中斷服務次數次02空調系統無中斷服務。空調系統中斷服務次數IDC機房空調系統中斷服務次數次03IDC機房內設施未因門禁管制作業之疏失導致失竊或遭不當破壞。IDC機房失竊次數IDC機房內設施因門禁管制作業之疏失導致失竊次數次0IDC機房遭破壞次數IDC機房內設施因門禁管制作業之疏失導致遭不當破壞次數次0附件--ISMS資訊安全目標KPI（KeyPerformanceIndicators,關鍵績效指標）衡量表

Module5-3-二第六十八页，共九十五页。5-69項次目標項目KPI指標KPI指標說明計算

單位目

標

值實

際

值是否達成目標4作業管理組備份作業所負責之用戶端備份資料無不當洩漏情事。備份資料洩漏次數作業管理組備份作業所負責之用戶端備份資料，因TSM備份系統管理疏失導致不當洩漏次數次05作業管理組備份作業所負責之重要用戶端備份資料可於該用戶端作業需要時於十二小時內提供。備份資料未能限時內提供還原次數TSM備份作業所負責之重要用戶端備份資料未能於該用戶端作業需要時於十二小時內提供之次數。次0Module5-3-二第六十九页，共九十五页。5-70項次目標項目KPI指標KPI指標說明計算

單位目

標

值實

際

值是否達成目標6維持一年EMS環境監控系統之中斷時間不超過四十小時。EMS系統中斷服務時間EMS環境監控系統之中斷服務時間(以半年計)。小時207維持CCTV安全監控系統無中斷服務以及任何時間起算一個月內錄影資料之完整保存。CCTV系統中斷服務次數CCTV安全監控系統中斷服務次數次0CCTV錄影資料保存天數CCTV錄影資料平均保存天數，每月抽檢一次，其平均保留天數天30CCTV錄影資料不完整次數查閱CCTV錄影資料,有無法查閱之次數次0Module5-3-二第七十页，共九十五页。5-71項次目標項目KPI指標KPI指標說明計算

單位目

標

值實

際

值是否達成目標8EMS環境監控系統、CCTV安全監控系統無任何電腦病毒感染事件。EMS系統中毒次數EMS環境監控系統主機中毒次數次0CCTV系統中毒次數CCTV環境監控系統主機中毒次數次09EMS環境監控系統、CCTV安全監控系統、TSM備份作業系統未因系統入侵事件造成上述系統無法提供服務。EMS系統遭入侵服務中斷次數EMS環境監控系統主機遭入侵服務中斷次數次0CCTV系統遭入侵服務中斷次數CCTV環境監控系統主機遭入侵服務中斷次數次0TSM系統遭入侵服務中斷次數TSM備份作業系統遭入侵服務中斷次數次0Module5-3-二第七十一页，共九十五页。5-72參考文獻第七十二页，共九十五页。5-73參考文獻國家標準CNS17799「資訊技術-安全技術--資訊安全管理之作業規範」。國家標準CNS27001「資訊技術-安全技術--資訊安全管理系統-要求事項」。ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems–Requirements.ISO27001:2005Informationtechnology–Securitytechniques–Codeofpracticeforinformationsecuritymanagement.OECD,GuidelinesfortheSecurityofInformationSystemsandNetworks—TowardsaCultureofSecurity.Paris:OECD,July2002.第七十三页，共九十五页。5-74Module5：先期規劃

習題第七十四页，共九十五页。5-75是非題(1)_題目資安政策是組織對資安的指導原則，適用整體組織無範圍問題。是非第七十五页，共九十五页。5-76是非題(2)_題目資安政策的資安目標是用以建立組織整體意識，故無法具體量化。是非第七十六页，共九十五页。5-77是非題(3)_題目資安政策是一份完整文件但仍需要其他支援補充文件。是非第七十七页，共九十五页。5-78是非題(4)_題目資安政策為組織處理機密文件，應透過適當方式公布及傳達至組織內所有人員以免機密外流。是非第七十八页，共九十五页。5-79是非題(5)_題目資安政策可視為一般管理政策文件的一部分，應注意避免揭露組織敏感性資訊。是非第七十九页，共九十五页。5-80是非題(6)_題目資安政策應明確陳述管理階層之資安態度及期望。是非第八十页，共九十五页。5-81是非題(7)_題目資安政策訂有施實範圍，故僅範圍內作業人員負有遵循責任。是非第八十一页，共九十五页。5-82是非題(8)_題目資安政策為組織的資安的指導方針，而如何評鑑風險屬執行層次故不在其陳述範圍內。是非第八十二页，共九十五页。5-83是非題(9)_題目管理階層負有評估、修正之責屬資安政策中的特定責任。是非第八十