|
When(步驟) |
What(工作內容) |
Who(權責人員) |
How(做法) |
Input(輸入) |
Process(流程) |
Output(輸出) |
|
前置作業 Step_1 |
現況訪查 |
單位主管 系統管理者 |
透過問卷調查表方式了解組織現況 |
問卷調查表設計1-1 |
組織先行填寫問卷,或以訪談方式進行 |
組織現況調查表 |
|
初始階段 Step_2 |
ISMS管理制度建置 |
資安承辦 |
1. 依據組織現況修訂ISMS管理制度 2. 建置ISMS管理制度簡述與應辦事項說明 |
ISMS管理制度應辦事項清單2-1 |
ISMS管理制度與應辦事項說明會(2~3小時) |
ISMS文件發行 |
|
執行階段 Step_3 |
資訊資產盤點與鑑價作業 |
機房/網路/系統/設備管理者 |
資訊資產盤點與鑑價方式說明 |
資訊資產盤點與鑑價作業手冊3-1 |
資訊資產盤點與鑑價說明 |
資訊資產清冊 |
|
執行階段 Step_4 |
風險評鑑作業 |
機房/網路/系統/設備管理者 |
風險評鑑作業說明 |
風險評鑑作業手冊4-1 |
風險評鑑作業說明 |
風險評估表 風險評鑑彙整表 風險評鑑報告 風險處理計畫表 |
|
執行階段 Step_5 |
營運持續演練作業 |
系統管理者 |
提供營運持續演練相關範本與步驟 |
營運持續演練作業手冊5-1 |
桌上演練或 實際演練 |
營運衝擊分析表 營運持續演練計畫 營運持續演練步驟,報告等 |
|
執行階段 Step_6 |
資安教育訓練 |
導入範圍內人員 |
提供資安教育訓練授課 |
資安教育訓練簡報6-1 教育訓練課後評量6-2 |
實體授課/線上授課或提供教材自行研讀 |
教育訓練簡報 簽到表 課後評量 |
|
運作階段 Step_7 |
管理維運紀錄產出 |
導入範圍內人員 |
From Step1階段第2項進行作業 |
ISMS活動相關紀錄(範本)7-N, 紀錄參考2-1 |
相關承辦依(紀錄範本)產生組織之維運紀錄 |
ISMS四階表單紀錄 |
|
審查階段 Step_8 |
資安內部稽核 |
導入範圍內人員 |
針對管理制度與相關活動查核 |
資安稽核計畫8-1 |
資安實地稽核 |
內部稽核報告8-2 稽核查檢表 |
|
審查階段 Step_9 |
內稽矯正措施 |
稽核發現相關權責單位人員 |
針對稽核報告之稽核發現進行矯正 |
From Step_8 output |
針對稽核報告之稽核發現進行矯正建議 |
矯正措施單9-1 矯正佐證紀錄 |
|
審查階段 Step_10 |
管理審查會議整備 |
資安長,導入範圍相關人員 |
針對管理審查會議議題資料準備 |
利害關係人與內外部議題 資安政策,風險評鑑,稽核,營運持續演練,教育訓練,量測記錄等資料整備10-1 |
管理審查會議議程彙整 |
管理審查會議議程與會議報告相關資料 |
|
審查階段 Step_11 |
管理審查會議 |
資安長,導入範圍相關人員 |
陪同召開管理審查會議 |
From Step_10 Output |
陪同召開管理審查會議擔任報告人 |
管理審查會議記錄11-1 會議簽到表11-2 |
|
驗證階段 Step_12 |
第三方驗證 |
資安長,導入範圍相關人員 |
協助填寫第三方驗證申請書 |
驗證公司提供第三方驗證稽核計畫 |
陪同第三方驗證 |
第三方稽核報告12-1 通過證明函 ISO27001證書 |
|
Final Step_13 |
外稽核矯正措施 |
稽核發現相關權責單位人員 |
針對稽核報告之稽核發現進行矯正 |
From Step_12 output 第三方稽核報告 |
針對稽核報告之稽核發現進行矯正建議 |
矯正措施單 矯正佐證紀錄 |
沒有留言:
張貼留言