資訊安全管理重要流程

資訊安全管理包含眾多工作，組織中有多少資訊系統，資訊設備，提供哪些資訊服務，自行開發或是委外開發時之系統之安全性，如何確保服務的正常運作及機敏資料的安全，當有資安事件時，是否有適當人員來處置與緊急應變，要如何監控資訊環境，這些工作需要有系統的規劃，每項工作都應有適當的流程與方法來管控，大致將重要的程序流程整理，提供參考。實務上需要一套管理制度來管控所有作業，包含策略面，管理面以及技術面。

1.    資產管理處理程序：(新增設備(採購流程)、使用中(變更、故障送修、故障更換)、終止使用(報廢流程)、資產盤點(資產清冊)

2.    風險評鑑：風險識別、風險分析、風險評估、風險處理、風險控制、風險關鍵績效指標；威脅建模

3.    安全量測：資安政策、資安目標、關績效指標(KPI)，關鍵風險指標(KRI)、SOC監控、電子郵件社交工程測試

4.    系統開發維運(軟體)：需求分析、系統設計、系統開發、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps

5.    支援系統維運(網路通訊及安全設備、伺服主機)：需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps

6.    實體環境維運(機房)：需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DepOps

7.    使用者端(固定式工作站、可攜式設備)：帳號管理((一般、特權)安全設置參考各項管理規範、變更管理)、軟體管理((應用軟體，工具軟體)安全設置參考各項管理規範、變更管理)、教育訓練(資安認知宣導、資安專業技術)

8.    委外服務管理：資訊安全要求(管理性、技術性)、保障性要求(協助資安事故處理協議、依營運持續要求)

9.    緊急應變管理：應變小組、應變程序(識別事件、通報、事件分析、事件處理(備份還原、更換設備、異地備份還原、異地服務啟動)、恢復正常維運；若為資安事故應進行證據保存作業。

10.  備份管理(資訊系統與資料庫、網通暨資安設備組態、其他重要資料)：備份紀錄檢視、備份資料還原測試

11.  弱點漏洞管理(自行開發系統、套裝系統)：技術性檢測(弱點掃描、滲透測試、資安健診、源碼檢測)，安全性更新(病毒碼更新、系統軟體安全性更新)。

12.  法令法規遵循性：組織屬性及業務相關之法令法規符合調查

註：DepOps：Software Development and IT Operations and Quality Assurance