:::
本部訂於114年12月12日(星期五)晚上5時至9時止,進行系統維護作業,作業期間將暫停服務,造成不便,敬請見諒。
現在位置:
- 法規內容
- 歷史法規
歷史法規 - 顯示歷次修正條文
1
一、訂定目的
為有效管理法務部資訊安全管理系統(Information Security
Management System ,以下簡稱 ISMS) 文件,使文件達到一致性,
並提升文件品質及管理功能,特訂定此管理規範以為依循。2
二、適用範圍
本部 ISMS 文件之製作訂定、修正、下達、函頒、停止適用、登錄、
公告、保存與銷毀。3
三、本部 ISMS 文件階層類別及其內容:
(一)政策性(第一階文件)
說明本部 ISMS 之目標、方向及執行原則。
(二)規範性(第二階文件)
針對本部 ISMS 所需訂定之行政規則。規範性文件名稱可命名為規
範、要點、注意事項等。
(三)程序性(第三階文件)
針對規範性文件中之規定,敘述相關作業之辦理程序。
(四)空白表單、紀錄及其他(第四階文件)
1.空白表單:本部 ISMS 作業所需使用之空白表單。
2.紀錄:本部 ISMS 作業已填寫資料之表單。
3.其他:本部 ISMS 作業所產生之文件、報告、計畫及相關參考資
料。4
四、本部 ISMS 文件審核權責如下:
(一)政策性文件應提報本部資通安全會報討論,依會議結論修正並簽報
部次長核定後函頒。
(二)規範性文件依行政規則作業程序下達;其內所含之程序、空白表單
併同規範文件辦理。
(三)程序文件及空白表單,依本部分層負責規定辦理。
(四)紀錄及其他文件,視其性質分別依第二款或第三款規定程序辦理。5
五、本部 ISMS 文件管理人員之權責如下:
(一)文件維護人員之權責:
1.辦理文件(包括:政策、規範、程序性文件及空白表單)之製作
、訂定、修正、下達、函頒、停止適用、公告、及其他相關事宜
。
2.辦理文件(包括:紀錄及其他文件)之保存、銷毀及其他相關事
宜。
(二)文件管制員之權責:
由本部資訊處指定專人擔任,辦理本部 ISMS 文件(紀錄及其他文
件除外)之架構維護、文件編號、文件登錄、版本管理、保存、銷
毀及其他相關事宜。6
六、本部 ISMS 文件管理空白表單如下:
(一)文件製作/訂定/修正/停止適用申請單。
(二)文件管理彙總表。
(三)文件停止適用銷毀彙總表。
(四)文件調閱申請單。
7
七、本部 ISMS 文件管理程序如下:
(一)文件之製作、訂定及修正
1.文件之研擬階段
(1)文件之訂定及製作
由文件維護人員研擬文件草稿,並得邀集(徵詢)相關業務人
員討論草稿內容。
(2)文件之修正
文件維護人員應向文件管制員調取最近一版之電子檔及紙本,
據以修正經核可之文件內容。
2.文件之審核階段
文件維護人員應填寫「文件訂定/修正/停止適用申請單」,勾
選申請單中「文件訂定」或「文件修正」之選項,並檢附文件草
稿,循文件審核權責之核定程序辦理;若為文件修正,須一併檢
附最近版次之原稿,以供核對。
3.文件之完成階段
(1)文件完成訂定/修正之審核後,文件維護人員須在文件「版本
修正紀錄表」中登載修正之項目,會同文件管制員登錄於「文
件管理彙總表」後公告施行。
(2)文件管制員須保留「文件製作/訂定/修正/停止適用申請單
」、文件紙本及電子檔及其核准文件之影印本備查。
(二)文件之停止適用
1.文件維護人員須填寫「文件製作/訂定/修正/停止適用申請單
」,勾選申請單中「文件停止適用」之選項,並填寫申請單其他
各項目,循文件審核權責之核定流程辦理。
2.文件停止適用之申請單如不予批准時,即送交文件管制員歸檔保
存備查;經核准停止適用時,由文件維護人員會同文件管制員登
錄於「文件管理彙總表」後,公告停止適用。
3.文件停止適用後,文件管制員仍須保存該文件最後一版次之電子
檔、停止適用申請單及核准停止適用文件之影印本。
(三)文件適用性之檢討
文件維護人員得隨時依照實際作業狀況檢討各文件之適用性,適時
提出文件製作/訂定/修正/停止適用之申請,最少每年應重新檢
討一次。
(四)文件之公告週知:
1.文件公告依下列方式為之:
(1)公文函頒。
(2)公告於電子公布欄。
(3)以電子郵件通知。
(4)下達並刊登本部主管法規資料庫。
2.規範性文件,由文件維護人員送交專責法規異動通報人員通報至
本部主管法規資料庫。
(五)文件之安全分級
文件之安全等級分為三級,並以適當標示區分:
1.公開文件
指無須經授權即得任意查閱或運用之文件。
2.一般文件
僅供部內使用,部外單位非經授權不得查閱或運用之文件。
3.限閱文件
指含敏感資料之文件,該文件須經審核或授權始得查閱或運用。
(六)文件之保存與銷毀
1.文件管制員應確實登錄與維護「文件管理彙總表」,並核對其正
確性。
2.第三點所定本部 ISMS 文件均須適當保管,如有修正時,文件及
電子檔案須保留現行版本及前一版本;停止適用時則保留現行版
本。
3.限閱文件須存放於可上鎖之儲存櫃中,以保持資料之機密性與完
整性。
4.第三點所定本部 ISMS 文件完成停止適用作業且無需保存者,由
文件管制員執行銷毀程序,並填寫「文件銷毀彙總表」登錄所銷
毀之文件。
5.紀錄超過保存年限時,應由文件維護人員執行銷毀程序。
6.不同安全等級文件之銷毀程序分述如下:
(1)公開文件:丟棄或資源回收。
(2)一般文件:對文件加蓋註銷字樣,並以碎紙機處理或燒毀。
(3)限閱文件:以碎紙機處理或燒毀等方式,由文件管制員及文件
維護人員共同監督銷毀過程。
(七)文件之調閱
1.文件管制員保存之實體文件及文件維護人員保存之紀錄,原則上
僅供內部使用,除經本部核准得使用該文件及紀錄之單位外,不
提供予無使用權限者。
2.本部各單位申請調閱前目之資料,須填寫「文件調閱申請單」,
經管制單位審查並刪除不適宜公開之資訊後,始得調閱。
(八)外部文件之管理
1.外部文件係指本部 ISMS 及其運作所需參照之相關規範性文件。
(如:行政院訂定之資安相關計畫、作業規範等。)
2.外部文件取得人應將取得之外部文件,送交文件管制員登錄列管
該份文件,其格式得不適用本管理規範相關規定。
3.外部文件取得人取得外部文件更新版,應送文件管制員重新登錄
列管。8
八、本部ISMS紀錄管理程序如下:
(一)填寫及保存紀錄時注意事項:
1.各紀錄由該文件維護人員負責保管與維護。
2.紀錄應保持易於查詢、閱讀、識別及取用;紀錄應以檔案夾彙整
保存,並以年度及項目別做為區分,於檔案夾外標示年度與紀錄
名稱;屬於一覽表或清單之紀錄則將歷年紀錄存放於同一檔案夾
。
3.紀錄之保存,原則上按項目別及日期先後順序作連續性之收集,
必要時應於紀錄上加註流水號以供識別。
4.紀錄之保存年限應符合相關法令法規之要求,如無其他規定,應
至少保存二年。
(二)紀錄表單格式之設計及變更依第七點第一款填寫「文件訂定/修正
/停止適用申請單」辦理。9
九、本部 ISMS 文件格式
(一)原則
1.規範性文件依行政規則案作業程序辦理。
2.非規範性文件,文件格式依循本規範規定辦理。
(二)文件編輯架構
1.第一層以一、二、三…等數字標示。
2.第二層以(一)、(二)、(三)…等數字標示。
3.第三層以 1、2、3…等全形數字標示。
4.第四層以(1)、(2)、(3)… 等全形數字標示。
5.第五層以甲、乙、丙…等文字標示。
6.第六層以(甲)、(乙)、(丙)…等文字標示。
(三)文件編號
文件編號共計五碼。由下列代號或號碼組成,並由文件管制員編訂
:
1.階層代號:共計一碼,代表文件的階層編號。
2.文件類別代號:共計二碼,代表文件所屬類別,分為下列十四類
。
01:風險評鑑。
02:文件管理。
03:政策目標。
04:組織安全。
05:資產管理。
06:人員安全。
07:實體安全。
08:作業管理。
09:網路管理。
10:存取控制。
11:系統開發維護。
12:事件通報。
13:營運持續管理。
14:符合性。
3.文件流水號:共計二碼,依文件類別依序編配流水號。
(四)版次:文字及數字共計三碼。第一次之版本為 1.0 版,版本小幅
修正時,其小數位數字依次遞增(例如:1.1、1.2 等以此類推)
;版本大幅修正時,其個位數字依次遞增(例如:2.0、3.0 等以
此類推)。
(五)文件樣式
1.文件封面
除第四階文件外,文件封面應包含本部名稱、文件名稱、文件安
全分級、文件編號、版次及施行日期。
2.頁首
(1)頁首左上方需標示「法務部 ISMS」 之字樣。
(2)頁首右上方註明各文件類別代號及名稱(例如:02_ 文件管理
。)。
(3)第四階空白表單之頁首需另註明文件安全分級。
3.頁尾
(1)頁尾左下方為文件名稱。
(2)頁尾中間為頁碼及總頁數(例如:第 4 頁,共 10 頁)。
(3)頁尾右下方為文件編號及版次(例如:30201-1.0) 。
(六)電子檔案名稱
文件之電子檔案,命名方式為:文件編號-文件版次_文件名稱,以
利區隔保存(例如:30201-1.0_文件管理程序)。10
十、適法性遵循事項
規範性文件之訂定、修正應會辦本部相關單位檢視是否符合現行法令
、合約義務及各項安全之要求。