您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 臺南市政府衛生局資訊安全組織管理規範
公發布日: 民國 101 年 09 月 05 日
發文字號: 南市衛企字第1010121793號 函
法規體系: 臺南市法規資料庫/衛生類
法規功能按鈕區
一、臺南市政府衛生局(以下簡稱本局)特設置資通安全處理及資訊推動
  小組,以確保資訊安全管理系統得以持續有效運作,特訂定臺南市政
  府衛生局資訊安全組織管理規範(以下簡稱本規範)。
二、本規範適用於本局各單位暨所屬各區衛生所。
三、資通安全處理及資訊推動小組(以下簡稱本小組)其任務如下:
(一)本局資通安全預防、危機處理、通報演練、資安稽核、資安業務獎
   勵等事項之審查。
(二)策劃及推動優質化政府資訊通信應用系統環境建設發展工作,包括
   政策研究、規劃之審查與有關機關之協調及督導事宜。
(三)其他資通安全及資訊推動之政策事項之審查。
四、為使資訊安全管理系統順利推行,資訊推動小組下設資訊安全稽核分
  組及資訊安全工作分組。
五、為使資訊安全管理系統順利推行,本小組下設資訊安全稽核分組及資
  訊安全工作分組:
(一)資訊安全稽核分組:由政風室協同相關單位組成,依資安稽核管理
   規範抽查各單位進行資訊安全稽核相關作業,並針對稽核缺失提出
   相關改善與預防進行追蹤。
(二)資訊安全工作分組:工作分組成員由綜合企劃科協同相關單位組成
   。負責資訊安全管理文件研擬、推廣訓練、資安技術、資安通報、
   資安管理及營運持續等工作。
   1.資訊安全管理文件研擬:
     (1)資訊安全政策、目標之研議、協調與推動事項。
     (2)資訊安全風險評鑑與風險管理研議與審查事項。
     (3)資訊安全稽核結果審查與改善情形追蹤事項。
     (4)資訊安全文件審查、修訂及發佈等事項。
     (5)資訊安全責任之分配及協調。
   2.推廣訓練:
     (1)擬定年度資訊安全訓練及宣導計畫。
     (2)辦理各類人員教育訓練。
     (3)管理教育訓練檔案,包含教材、簽到表等訓練結果記錄
        。
   3.資安技術:
     (1)負責對資訊安全狀況進行預警、防禦及監控規劃。
     (2)研議、應用安全防毒之軟體以確保本局之資訊安全。
     (3)整體防毒安全措施之協調研議及支援。
     (4)應用適當工具或方法以確保各通訊網路系統有適當之存
        取控制。
     (5)整體通訊安全措施之協調研議及支援。
     (6)整體網路安全系統措施之協調研議及支援。
     (7)應提供網路安全系統技術之指導予相關技術支援部門以
        協助使用者保護網路資料之安全。
     (8)控管電腦作業系統的設定安全。
     (9)控管應用系統的使用安全。
     (10)排除電腦系統的故障事件。
     (11)負責電腦帳號的安全事項。
    4.資安通報
     (1)規劃資訊安全事件處理與通報。
     (2)建立與電信單位的聯絡管道。
     (3)建立與實體安全防護及救援有關的廠商、檢警單位、電
        力單位及防救災單位的聯絡管道。
    5.資安管理
     (1)資訊安全目標的統計分析
     (2)資訊資產的管理,包含新增、異動及廢除。
     (3)資訊資產之風險評鑑作業之執行,並依現況查核是否有
        新資安之弱點與威脅。
     (4)資安文件與紀錄的管理,確保相關人員可取得最新版本
        。
     (5)蒐集並分析相關資安法律與規定,研擬相關規範對策。
     (6)定義資訊安全管制區域、授權使用者出入管制區域並確
        認管制區域有適當的控管機制。
     (7)協調、提供各項資訊系統之安全措施建議。
     (8)矯正與預防的管理。
     (9)其他資訊安全事項之管理
    6.營運持續
     (1)營運持續計畫擬定
     (2)營運持續演練、檢討及報告
     (3)消防、電力等設備維護
六、本小組及各分組之組織如下:
(一)本小組置召集人一人,由副局長兼任;副召集人一人,由本局主任
   秘書兼任;設置執行秘書一人,由本局綜合企劃科科長兼任,承召
   集人之命,綜理本小組幕僚事務;幹事若干人,由本局各單位派員
   兼任。委員由單位主管指派適當人員兼任之。本局並得聘請若干專
   家、學者及社會賢達人士,擔任本小組顧問。
(二)資訊安全工作分組,設置召集人一人,由本局綜合企劃科科長兼任
   ,辦理資訊安全管理業務之推動。
(三)資訊安全稽核分組,設置召集人一人,由本局政風室主任兼任,稽
   核成員於每次稽核活動前隨機抽選符合資格條件者擔任。
七、本小組每年召開會議一次,必要時得召開臨時會議,均以召集人為主
  席;召集人因故不能出席時,由副召集人代理之。本小組會議應針對
  本小組任務進行討論及研議。
八、本小組每年應進行本局的資訊安全管理系統審查,以確保其持續的適
  用性、適切性及有效性。此項審查應包括改進機會與資訊安全管理系
  統變更需求的評核,須包含下列項目:
(一)討論事項:
   1.資訊安全管理系統稽核與審查之結果。
   2.來自利害相關團體之建議事項。
   3.可用以改進組織資訊安全管理系統績效及有效之技術、產品或
     程序。
   4.預防與矯正措施之狀態。
   5.先前風險評鑑未適切提出之脆弱性或威脅。
   6.有效性量測之結果。
   7.先前管理審查之跟催措施。
   8.可能影響資訊安全管理系統之任何變更。
   9.改進之建議。
(二)會議產出事項須考量符合以下:
   1.資訊安全管理系統有效之改進。
   2.風險評鑑與風險處理計畫之更新。
   3.為因應可能影響資訊安全管理系統之內部或外部事件,必要時
     ,影響資訊安全之流程應予修訂。
   4.資源需求。
   5.控制措施如何測量之改進。
(三)會議紀錄應予以維持,以作為研議結果或後續追蹤事項之參考。
九、本規範未依定事項,悉依臺南市政府資訊安全組織管理規範辦理。
十、本規範奉核後實施,如有未盡事宜得隨時修正之。