一、臺南市政府衛生局(以下簡稱本局)特設置資通安全處理及資訊推動
小組,以確保資訊安全管理系統得以持續有效運作,特訂定臺南市政
府衛生局資訊安全組織管理規範(以下簡稱本規範)。
二、本規範適用於本局各單位暨所屬各區衛生所。
三、資通安全處理及資訊推動小組(以下簡稱本小組)其任務如下:
(一)本局資通安全預防、危機處理、通報演練、資安稽核、資安業務獎
勵等事項之審查。
(二)策劃及推動優質化政府資訊通信應用系統環境建設發展工作,包括
政策研究、規劃之審查與有關機關之協調及督導事宜。
(三)其他資通安全及資訊推動之政策事項之審查。
四、為使資訊安全管理系統順利推行,資訊推動小組下設資訊安全稽核分
組及資訊安全工作分組。
五、為使資訊安全管理系統順利推行,本小組下設資訊安全稽核分組及資
訊安全工作分組:
(一)資訊安全稽核分組:由政風室協同相關單位組成,依資安稽核管理
規範抽查各單位進行資訊安全稽核相關作業,並針對稽核缺失提出
相關改善與預防進行追蹤。
(二)資訊安全工作分組:工作分組成員由綜合企劃科協同相關單位組成
。負責資訊安全管理文件研擬、推廣訓練、資安技術、資安通報、
資安管理及營運持續等工作。
1.資訊安全管理文件研擬:
(1)資訊安全政策、目標之研議、協調與推動事項。
(2)資訊安全風險評鑑與風險管理研議與審查事項。
(3)資訊安全稽核結果審查與改善情形追蹤事項。
(4)資訊安全文件審查、修訂及發佈等事項。
(5)資訊安全責任之分配及協調。
2.推廣訓練:
(1)擬定年度資訊安全訓練及宣導計畫。
(2)辦理各類人員教育訓練。
(3)管理教育訓練檔案,包含教材、簽到表等訓練結果記錄
。
3.資安技術:
(1)負責對資訊安全狀況進行預警、防禦及監控規劃。
(2)研議、應用安全防毒之軟體以確保本局之資訊安全。
(3)整體防毒安全措施之協調研議及支援。
(4)應用適當工具或方法以確保各通訊網路系統有適當之存
取控制。
(5)整體通訊安全措施之協調研議及支援。
(6)整體網路安全系統措施之協調研議及支援。
(7)應提供網路安全系統技術之指導予相關技術支援部門以
協助使用者保護網路資料之安全。
(8)控管電腦作業系統的設定安全。
(9)控管應用系統的使用安全。
(10)排除電腦系統的故障事件。
(11)負責電腦帳號的安全事項。
4.資安通報
(1)規劃資訊安全事件處理與通報。
(2)建立與電信單位的聯絡管道。
(3)建立與實體安全防護及救援有關的廠商、檢警單位、電
力單位及防救災單位的聯絡管道。
5.資安管理
(1)資訊安全目標的統計分析
(2)資訊資產的管理,包含新增、異動及廢除。
(3)資訊資產之風險評鑑作業之執行,並依現況查核是否有
新資安之弱點與威脅。
(4)資安文件與紀錄的管理,確保相關人員可取得最新版本
。
(5)蒐集並分析相關資安法律與規定,研擬相關規範對策。
(6)定義資訊安全管制區域、授權使用者出入管制區域並確
認管制區域有適當的控管機制。
(7)協調、提供各項資訊系統之安全措施建議。
(8)矯正與預防的管理。
(9)其他資訊安全事項之管理
6.營運持續
(1)營運持續計畫擬定
(2)營運持續演練、檢討及報告
(3)消防、電力等設備維護
六、本小組及各分組之組織如下:
(一)本小組置召集人一人,由副局長兼任;副召集人一人,由本局主任
秘書兼任;設置執行秘書一人,由本局綜合企劃科科長兼任,承召
集人之命,綜理本小組幕僚事務;幹事若干人,由本局各單位派員
兼任。委員由單位主管指派適當人員兼任之。本局並得聘請若干專
家、學者及社會賢達人士,擔任本小組顧問。
(二)資訊安全工作分組,設置召集人一人,由本局綜合企劃科科長兼任
,辦理資訊安全管理業務之推動。
(三)資訊安全稽核分組,設置召集人一人,由本局政風室主任兼任,稽
核成員於每次稽核活動前隨機抽選符合資格條件者擔任。
七、本小組每年召開會議一次,必要時得召開臨時會議,均以召集人為主
席;召集人因故不能出席時,由副召集人代理之。本小組會議應針對
本小組任務進行討論及研議。
八、本小組每年應進行本局的資訊安全管理系統審查,以確保其持續的適
用性、適切性及有效性。此項審查應包括改進機會與資訊安全管理系
統變更需求的評核,須包含下列項目:
(一)討論事項:
1.資訊安全管理系統稽核與審查之結果。
2.來自利害相關團體之建議事項。
3.可用以改進組織資訊安全管理系統績效及有效之技術、產品或
程序。
4.預防與矯正措施之狀態。
5.先前風險評鑑未適切提出之脆弱性或威脅。
6.有效性量測之結果。
7.先前管理審查之跟催措施。
8.可能影響資訊安全管理系統之任何變更。
9.改進之建議。
(二)會議產出事項須考量符合以下:
1.資訊安全管理系統有效之改進。
2.風險評鑑與風險處理計畫之更新。
3.為因應可能影響資訊安全管理系統之內部或外部事件,必要時
,影響資訊安全之流程應予修訂。
4.資源需求。
5.控制措施如何測量之改進。
(三)會議紀錄應予以維持,以作為研議結果或後續追蹤事項之參考。
九、本規範未依定事項,悉依臺南市政府資訊安全組織管理規範辦理。
十、本規範奉核後實施,如有未盡事宜得隨時修正之。