资讯安全管理政策与审查(ppt 94页)

资讯安全管理政策与审查目录：
一、信息安全政策
二、信息安全管理组织
三、资产管理
四、人力资源管理
五、实体与环境安全管理 
六、通信与作业管理
七、存取控制
八、信息系统的取得、开发及维护
九、资安事故管理
十、营运持续管理
十一、法令、政策、标准、及技术的符合性
十二、内部稽核
十三、管理审查
十四、持续改进

 

资讯安全管理政策与审查内容摘要：
　　资安政策（Information Security Policy）是组织建置资安管理制度不可或缺的重要元素。
　　资安政策是管理阶层依照组织营运要求（如：保护公司资产、保护客户信息、…）、相关法律、法规（如：个人数据保护法、智能财产权、组织营业秘密保护法、…）与客户合约要求，对组织资安管理提出执行方向与支持承诺。
　　如同组织的经营愿景与方向，管理阶层必须设定并提出与营运目标一致之明确资安政策指示。
　　经由沟通与发布至整个组织，展现对信息安全的支持与承诺。当组织订有明确的资安政策后，所有同仁将可清楚认知资安责任。
　　只要落实政策要求，将可达成资安管理目标，提供交易伙伴信心，增加商业机会及营运竞争力。
资安责任：
　　界定资安管理的一般与特定责任，资安政策尚应包括核准、审查及评估安全政策之管理责任。
　　例如：最高管理阶层负有核准、审查之责，各管理阶层负有评估、修正之责，所有同仁负有遵循责任等。

..............................