壹、目的
    雲林縣政府（以下簡稱本府）為統籌資訊安全相關事務之整體規劃、
    評估、督導、協調、推動及資安事故處理等事項，以確保資訊安全管
    理系統（以下簡稱ISMS）之正常運作，特訂定本「資訊安全組織管理
    程序」（以下簡稱本程序），期能達成以下目的：
一、建立ISMS組織，制定分工及管理責任，以利被指派之人員有所遵循。 
二、透過管理階層的審查，以確認ISMS政策和目標的適用性、適切性與有
    效性，並能持續改善。

貳、適用範圍 
    本程序適用於本府ISMS實施範圍所涵蓋的所有區域及所有相關資產的
    管理與審查。

參、權責 
一、縣長或其授權人核定、發布本程序。
二、ISMS執行小組研擬、評估及檢討本程序。 
三、ISMS執行小組組長審查本程序，並督導本程序之執行。 
四、ISMS管理師協調及彙總本程序之執行。 

肆、定義 
    無。

伍、管理項目 
一、資訊安全組織與權責
  （一）組織架構
        1.資訊安全管理委員會
         (1)依據本府「資訊安全管理委員會設置要點」之要求，成立本
            府跨單位之「資訊安全管理委員會」，主導資訊安全相關政
            策制定及決策事宜，並統籌資訊安全管理等事項之協調及推
            動。
         (2)置正、副召集人各一人，分別由本府副縣長及計畫處處長擔
            任；置執行秘書一人，由計畫處資訊管理科科長擔任；委員
            十七人，由本府就下列人員派兼之：本府政風處處長、主計
            處處長、人事處處長、行政處處長、水利處處長、文化處處
            長、新聞處處長、地政處處長、城鄉發展處處長、勞工處處
            長、社會處處長、農業處處長、教育處處長、工務處處長、
            建設處處長、財政處處長、民政處處長。
         (3)資訊安全管理委員會組織架構，如附件所示。
        2.資訊安全管理系統（ISMS）執行小組
         (1)於資訊安全管理委員會下設置「資訊安全管理系統執行小組
            」（以下簡稱ISMS執行小組），以進行資訊安全相關作業之
            執行。
         (2)置組長一人，由計畫處資訊管理科科長擔任；置ISMS管理師
            一人（兼資安聯絡人），由ISMS執行小組組長指派；組員由
            資訊管理科同仁及人事處掌管員工到離職業務同仁兼任，會
            同其他相關單位人員辦理，以統籌管理本府ISMS相關程序、
            計畫、資源調度等事宜。
        3.資訊安全管理系統（ISMS）稽核小組
         (1)於資訊安全管理委員會下設置「資訊安全管理系統稽核小組
            」（以下簡稱ISMS稽核小組），以進行資訊安全相關稽核作
            業之執行。
         (2)置組長一人，由政風處處長擔任，組員由政風處會同相關單
            位人員辦理，統籌管理本府ISMS相關執行成效及稽核管制等
            事宜。
  （二）權責與職掌
        1.資訊安全管理委員會
         (1)管理委員會
            A.設定策略性方向與長期目標，制定或核定各項資安流程決
              策，審核流程制度文件。
            B.宣導流程實施與改善工作，去除人員抗拒。
            C.核定ISMS執行小組成員，並賦予流程實施與改善所需資源
              。
            D.確保實施範圍同仁在流程執行過程中，均受過足夠的專業
              訓練及資源分配。
            E.審查ISMS制度問題與建議改善事項。
            F.審查資安流程實施與改善成效，督導資安流程改善作業進
              度與缺失改善情形。
         (2)召集人
            A.ISMS制度執行政策之核定與實施。
            B.宣導落實流程實施與改善之要求，以及取得並維持ISO270
              01/CNS27001 驗證之決心與承諾，協助排除推動障礙。
            C.督導並賦予適當之資源，以確保ISMS執行小組、ISMS稽核
              小組、實施範圍相關單位、其他支援單位等具有足夠資源
              實施ISMS流程制度，並能有效落實執行與持續改善。
            D.ISMS政策、制度及流程實施時如有執行爭議，統籌負責跨
              部門協調事項。
         (3)副召集人
            協助或代理召集人，推動並督導ISMS制度相關推動工作。
         (4)執行秘書
            A.本府之ISMS管理代表。
            B.承資訊安全管理委員會之授權，規劃、建置、維運及持續
              改善ISMS。
            C.推動並督導ISMS制度相關推動工作，以取得並維持ISO270
              01/CNS27001 之驗證有效性。
         (5)委員
            A.ISMS制度執行政策之制訂與實施。
            B.對所轄部門同仁持續傳達落實ISMS制度及ISO27001/CNS27
              001 標準要求之重要性。
            C.對所轄部門同仁宣導取得並維持ISO27001/CNS27001 驗證
              之決心與承諾，協助排除推動障礙，推動實施與改善事宜
              。
            D.督導並賦予適當之資源，以確保所轄部門同仁有足夠資源
              實施ISMS流程制度，並能有效落實執行與持續改善。
            E.建立與跨部門間有效溝通機制，包含對ISMS流程制度有效
              性之溝通。
            F.參與管理審查及流程制度文件審查工作。
        2.資訊安全管理系統（ISMS）執行小組
         (1)執行小組
            A.規劃、建置及維運ISMS制度。
            B.負責流程執行所需文件、紀錄等之研擬、維護、發行、管
              制等之管理工作。
            C.規劃及執行資訊安全相關推動工作。
            D.資訊安全相關資產資料之建立、盤點與維護，執行風險評
              鑑與風險管理相關作業。
            E.規劃風險發生時之危機處理程序及應變計畫；風險發生時
              ，執行緊急應變措施。
            F.辦理危機事件發生時之通報作業，確定影響範圍並作損失
              評估，查明危機事件之成因，並提出改善與預防建議方案
              。
            G.蒐集資訊安全相關資訊及議題，培訓資訊安全預防及處理
              技術。
            H.安排各項對實施部門同仁之流程教育訓練或研習活動，以
              及相關規範及政令宣導事宜。
            I.彙總及分析流程實施資料，評估ISMS落實度及執行成效。
            J.召開專案推動會議。
            K.檢討流程實施相關議題及改善項目。
            L.協調及整合各單位主管與相關人員參與對流程的改善活動
              。
            M.規劃及參與驗證作業。
         (2)組長
            A.承資訊安全管理委員會之授權，規劃、建置、維運及持續
              改善ISMS，以取得並維持ISO27001/CNS27001 之驗證有效
              性。
            B.研擬適用ISMS驗證範圍之資訊安全政策（資訊安全手冊）
              。
            C.督導執行小組執行ISMS相關工作。
            D.於資訊安全管理委員會會議中，向資訊安全管理委員會陳
              報ISMS實施狀況。
      (3)ISMS管理師
            A.統籌ISMS相關規劃、建置、維運及持續改善相關事宜。
            B.協助召集人處理ISMS相關事宜及初步審核。
            C.規劃各項推動活動，安排人員參與及執行各項流程推動活
              動。
            D.安排ISMS相關知識與執行技能之教育訓練活動，確保實施
              部門人員有能力執行ISMS相關工作。
            E.指導及審查ISMS制度執行狀況，確保同仁落實執行各項流
              程。
            F.規劃與執行ISMS制度實施成效之評估作業。
            G.檢討執行成效，並向召集人報告ISMS制度執行狀況。
            H.追蹤ISMS相關會議（如專案工作會議、管理審查會議等）
              之待辦及決議事項之執行情形。
            I.確保ISMS制度之改善活動的持續推動。
        3.資訊安全管理系統（ISMS）稽核小組
         (1)稽核小組
            A.觀察及分析ISMS流程執行缺失，及時提出改善需求。
            B.訂定稽核相關之作業程序。
            C.規劃內部稽核時程及查檢準則。
            D.執行內部稽核工作，以評估流程符合程度。
            E.追蹤及管理各項ISMS制度改善需求，確保其獲得實質改善
              。
            F.稽核人員所屬部門倘為驗證範圍管理部門時，該稽核人員
              也應接受其他部門稽核人員之稽核。
         (2)組長
            A.承資訊安全管理委員會之授權，規劃、執行ISMS稽核相關
              工作。
            B.督導稽核小組執行ISMS相關稽核工作，確認不符合事項之
              改善情形。
            C.於資訊安全管理委員會會議中，向資訊安全管理委員會陳
              報ISMS稽核及改善結果狀況。
二、召開管理審查會議
    資訊安全管理委員會每年應至少召開一次ISMS管理審查會議，以確保
    資訊安全管理系統的適用性和有效性，同時評估並持續改進資訊安全
    管理系統。
  （一）會議時機及審查項目
        ISMS執行小組及稽核小組組長對於ISMS的執行結果，應陳報資訊
        安全管理委員會。每年於內部稽核實施後，應召開一次管理審查
        會議，以確保ISMS的適用性、有效性，並進行檢討、評估，以改
        善本府ISMS相關措施。其管理審查項目至少應包含：
        1.ISMS政策。
        2.風險評鑑報告。
        3.風險處理計畫。
        4.適用性聲明。
        5.資訊安全事件處理報告。
        6.內部稽核報告。
        7.資源需求。
        8.相關程序或活動執行紀錄。
  （二）審查工作重點
        1.審查各項程序和控制措施的執行成效，其工作重點如下：
         (1)快速發現程序和控制措施的瑕疵。
         (2)快速有效的鑑別資安事件。
         (3)資安活動的實施成效是否符合期望。
         (4)反應業務優先順序的資安活動。
        2.評估資訊安全管理系統執行的有效性：
         (1)資安指標執行結果與資訊安全政策是否相符。
         (2)是否定期更新審查。
         (3)是否公告給所有相關人員。
         (4)是否確實執行預防與改善措施。
         (5)投入的資源是否足夠。
         (6)有關資訊安全稽核、資訊安全事故、控制措施有效性量測，
            以及來自所有利害相關者之建議與回饋事項。
  （三）會議議程
        管理審查會議之議程應包含以下項目：
        1.上次會議結論辦理情形的追蹤。
        2.ISMS稽核和審查結果討論。
        3.有效性量測的結果。
        4.先前的風險評鑑未適當鑑別之脆弱性或威脅。
        5.預防與改善措施執行狀況。
        6.利害相關團體的回饋（如主管機關的指示與要求、來自組織外
          部使用者的回饋意見等）。
        7.可用來增進ISMS的效率及有效性的技術、產品和程序。
        8.任何影響ISMS的改變。
        9.改善之各項建議。
  （四）管理審查產出結果
        資訊安全管理委員會所作成的決議應做成會議紀錄，內容應包含
        下列項目：
        1.ISMS有效性之改進。
        2.風險評鑑及風險處理計畫之更新。
        3.為因應ISMS內、外部事件之衝擊，對於原訂程序及控制措施作
          必要之修正與變更，包含如下：
         (1)各項營運要求。
         (2)各項安全要求。
         (3)業務需求。
         (4)安全需求。
         (5)影響既有業務需求的工作程序或方法。
         (6)法律與法規。
         (7)風險值和／或可接受風險。
        4.資源需求。
        5.控制措施有效性量測之改進。

陸、參考文件 
一、資訊安全手冊。
二、風險評鑑與管理程序。 
三、監視與量測控制程序。 
四、資訊安全稽核程序。 
五、矯正及預防措施處理程序。 

柒、使用表單 
    無。

捌、附件 
附件一、資訊安全管理委員會組織架構圖如附件。