全景範圍與溝通管理政策

1.目的

確保國立成功大學(以下簡稱本校)及臺南區域網路中心—成功大學計網中心(以下簡稱本中心)資訊安全管理制度執行之範圍,達成資安管理制度之目標,以維護相關業務運作之安全,並為使相關業務順利推展,經溝通協調後取得共識。提供資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策。

2.適用範圍

2.1. 機房處理TANet業務活動之維運作業及選課系統之維護作業。
2.2. 考量本校內部、外部議題。依據如下:

2.2.1. 外部議題:

2.2.1.1. 為組織尋求達成其目標所處之外部環境,經考量外部利害相關者之目標與關切事項、法令規章要求、利害相關者感知、及特定於風險管理過程範圍之相關風險事項,如:國家、區域、社會文化、法令規章、經濟、技術、環境。
2.2.1.2. 對組織目標具衝擊之主要推動者與趨勢。
2.2.1.3. 與外部利害相關者之關係互動與其對於組織之價值。

2.2.2. 內部議題:

2.2.2.1. 為組織尋求達成其目標所處之內部環境,可影響組織管理之任何事務,於前後環節進行評估,其組織之專案過程與內容須以組織目標觀點為主要考量,可能產生無法達成目標之機會進而影響組織承諾、信賴與價值觀影響之事件。
2.2.2.2. 針對資通訊治理之組織架構與角色執掌、政策目標達成策略、組織支援與知識管理能力、資訊系統與其流程因應。
2.2.2.3. 組織文化與遵循標準、指導綱要、合約關係等模式。

3.權責

3.1. 管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。
3.2. 本校全體人員、委外服務廠商與訪客等皆應遵守本政策。
3.3. 本校全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
3.4. 任何危及資訊安全之行為,將視情節輕重追究其刑事、民事及行政責任或依本校之相關規定進行議處。
3.5. 本政策經「資訊安全管理委員會」核定後實施,修正時亦同。

4.名詞定義

4.1. 內部利害相關者:

組織內可影響、受其所影響、或自認會受到決策或活動影響的個人或相關單位。

4.2. 外部利害相關者:

可影響、受其所影響、或自認會受決策或活動影響的個人或組織。

4.3. 內外部議題:

組織為尋求達成其目標所處之內外部環境    可能影響組織目標與範圍定義之風險因素。

4.4. 資訊資產:

係指為維持本校相關業務流程運作之硬體、軟體、服務、文件及人員。

4.5. 營運持續運作之資訊環境:

係指為維持本校各項業務正常運作所需之電腦作業環境。

4.6. 溝通議題:

組織為尋求達成其目標期間,面臨可能影響組織目標與範圍事務之協調議題。

5.作業說明

5.1. 依據業務流程衝擊分析表,進行內外部利害相關團體與議題之確認,以符合資訊安全全景與範圍界定。

5.2. 決定可能影響資訊安全管理系統之外部與內部議題,及辨識其利害相關者與對資訊安全相關之要求事項(可包含法令法規要求與契約義務),並將結果彙整填入「利害相關者與議題一覽表」:

內部議題 外部議題 利害相關者
(關注方)
利害相關者要求
(關注方)
組織政策、目標 主管機關要求 主管機關 各項法令、法規
政府單位要求 政府單位 各項法令、法規
外部單位要求 家長、大考中心 資訊服務、資訊安全
組織文化 N/A 內部人員 組織內部規範
相關資源需求(包括:人力、技術、預算等) N/A 內部人員 訓練、資訊服務
高階主管 績效(KPI)

資訊安全事件
資訊技術

客戶 合約內容(SLA)
供應(者)商 合約內容
教版資安規範 第三方稽核單位 教版資安規範


5.3. 所確認之外部與內部議題及要求事項,可作為決定資訊安全管理制度範圍之考量。

5.4. 內部溝通與管道

宣達本校資訊安全政策、組織目標及相關規定或校內涉及相關需求,適時參與校內各項溝通會議。

5.4.1. 參加人員

本校系統業務流程相關單位主管、業務承辦人員、資訊人員、資安小組成員。

5.4.2. 溝通時機

透過校內舉辦之行政會議、校務會議、座談、資訊安全管理審查會議。

5.4.3. 溝通事項

涉及資訊安全之網路、系統、本校相關業務流程與活動議題。

5.5. 外部溝通管道

5.5.1. 參加人員

與本校業務相關之主管機關、委外(維護)廠商,與本校業務關係或交流互動、具高度關聯或影響之對象。

5.5.2. 溝通時機

透過教育訓練、工作會議、研討會、TANet技術小組會議、TANet管理會。

5.5.3. 溝通事項

涉及資訊安全之網路、系統、本校相關業務流程與活動議題。

5.6. 溝通媒介

可適切利用電子郵件、活動、問卷、訪談、會議、滿意度調查表等形式或工具進行取得。

5.7. 議題追蹤

溝通結果必須經媒介有效呈現議題討論之共識,並經由單位主管委派相關人員進行後續追蹤與處理。

6.相關文件

6.1. 資訊安全組織成員表
6.2. 外部單位聯絡清單
6.3. 業務流程衝擊分析表

 

瀏覽數: