一、臺南市政府衛生局（以下簡稱本局）特設置資通安全處理及資訊推動
　　小組，以確保資訊安全管理系統得以持續有效運作，特訂定臺南市政
　　府衛生局資訊安全組織管理規範（以下簡稱本規範）。
二、本規範適用於本局各單位暨所屬各區衛生所。
三、資通安全處理及資訊推動小組（以下簡稱本小組）其任務如下：
（一）本局資通安全預防、危機處理、通報演練、資安稽核、資安業務獎
　　　勵等事項之審查。
（二）策劃及推動優質化政府資訊通信應用系統環境建設發展工作，包括
　　　政策研究、規劃之審查與有關機關之協調及督導事宜。
（三）其他資通安全及資訊推動之政策事項之審查。
四、為使資訊安全管理系統順利推行，資訊推動小組下設資訊安全稽核分
　　組及資訊安全工作分組。
五、為使資訊安全管理系統順利推行，本小組下設資訊安全稽核分組及資
　　訊安全工作分組：
（一）資訊安全稽核分組：由政風室協同相關單位組成，依資安稽核管理
　　　規範抽查各單位進行資訊安全稽核相關作業，並針對稽核缺失提出
　　　相關改善與預防進行追蹤。
（二）資訊安全工作分組：工作分組成員由綜合企劃科協同相關單位組成
　　　。負責資訊安全管理文件研擬、推廣訓練、資安技術、資安通報、
　　　資安管理及營運持續等工作。
　　　１．資訊安全管理文件研擬:
　　　　　（１）資訊安全政策、目標之研議、協調與推動事項。
　　　　　（２）資訊安全風險評鑑與風險管理研議與審查事項。
　　　　　（３）資訊安全稽核結果審查與改善情形追蹤事項。
　　　　　（４）資訊安全文件審查、修訂及發佈等事項。
　　　　　（５）資訊安全責任之分配及協調。
　　　２．推廣訓練:
　　　　　（１）擬定年度資訊安全訓練及宣導計畫。
　　　　　（２）辦理各類人員教育訓練。
　　　　　（３）管理教育訓練檔案，包含教材、簽到表等訓練結果記錄
　　　　　　　　。
　　　３．資安技術:
　　　　　（１）負責對資訊安全狀況進行預警、防禦及監控規劃。
　　　　　（２）研議、應用安全防毒之軟體以確保本局之資訊安全。
　　　　　（３）整體防毒安全措施之協調研議及支援。
　　　　　（４）應用適當工具或方法以確保各通訊網路系統有適當之存
　　　　　　　　取控制。
　　　　　（５）整體通訊安全措施之協調研議及支援。
　　　　　（６）整體網路安全系統措施之協調研議及支援。
　　　　　（７）應提供網路安全系統技術之指導予相關技術支援部門以
　　　　　　　　協助使用者保護網路資料之安全。
　　　　　（８）控管電腦作業系統的設定安全。
　　　　　（９）控管應用系統的使用安全。
　　　　　（１０）排除電腦系統的故障事件。
　　　　　（１１）負責電腦帳號的安全事項。
　　　　４．資安通報
　　　　　（１）規劃資訊安全事件處理與通報。
　　　　　（２）建立與電信單位的聯絡管道。
　　　　　（３）建立與實體安全防護及救援有關的廠商、檢警單位、電
　　　　　　　　力單位及防救災單位的聯絡管道。
　　　　５．資安管理
　　　　　（１）資訊安全目標的統計分析
　　　　　（２）資訊資產的管理，包含新增、異動及廢除。
　　　　　（３）資訊資產之風險評鑑作業之執行，並依現況查核是否有
　　　　　　　　新資安之弱點與威脅。
　　　　　（４）資安文件與紀錄的管理，確保相關人員可取得最新版本
　　　　　　　　。
　　　　　（５）蒐集並分析相關資安法律與規定，研擬相關規範對策。
　　　　　（６）定義資訊安全管制區域、授權使用者出入管制區域並確
　　　　　　　　認管制區域有適當的控管機制。
　　　　　（７）協調、提供各項資訊系統之安全措施建議。
　　　　　（８）矯正與預防的管理。
　　　　　（９）其他資訊安全事項之管理
　　　　６．營運持續
　　　　　（１）營運持續計畫擬定
　　　　　（２）營運持續演練、檢討及報告
　　　　　（３）消防、電力等設備維護
六、本小組及各分組之組織如下：
（一）本小組置召集人一人，由副局長兼任；副召集人一人，由本局主任
　　　秘書兼任；設置執行秘書一人，由本局綜合企劃科科長兼任，承召
　　　集人之命，綜理本小組幕僚事務；幹事若干人，由本局各單位派員
　　　兼任。委員由單位主管指派適當人員兼任之。本局並得聘請若干專
　　　家、學者及社會賢達人士，擔任本小組顧問。
（二）資訊安全工作分組，設置召集人一人，由本局綜合企劃科科長兼任
　　　，辦理資訊安全管理業務之推動。
（三）資訊安全稽核分組，設置召集人一人，由本局政風室主任兼任，稽
　　　核成員於每次稽核活動前隨機抽選符合資格條件者擔任。
七、本小組每年召開會議一次，必要時得召開臨時會議，均以召集人為主
　　席；召集人因故不能出席時，由副召集人代理之。本小組會議應針對
　　本小組任務進行討論及研議。
八、本小組每年應進行本局的資訊安全管理系統審查，以確保其持續的適
　　用性、適切性及有效性。此項審查應包括改進機會與資訊安全管理系
　　統變更需求的評核，須包含下列項目：
（一）討論事項：
　　　１．資訊安全管理系統稽核與審查之結果。
　　　２．來自利害相關團體之建議事項。
　　　３．可用以改進組織資訊安全管理系統績效及有效之技術、產品或
　　　　　程序。
　　　４．預防與矯正措施之狀態。
　　　５．先前風險評鑑未適切提出之脆弱性或威脅。
　　　６．有效性量測之結果。
　　　７．先前管理審查之跟催措施。
　　　８．可能影響資訊安全管理系統之任何變更。
　　　９．改進之建議。
（二）會議產出事項須考量符合以下：
　　　１．資訊安全管理系統有效之改進。
　　　２．風險評鑑與風險處理計畫之更新。
　　　３．為因應可能影響資訊安全管理系統之內部或外部事件，必要時
　　　　　，影響資訊安全之流程應予修訂。
　　　４．資源需求。
　　　５．控制措施如何測量之改進。
（三）會議紀錄應予以維持，以作為研議結果或後續追蹤事項之參考。
九、本規範未依定事項，悉依臺南市政府資訊安全組織管理規範辦理。
十、本規範奉核後實施，如有未盡事宜得隨時修正之。