發行日期:109年1月1日 版本:1.0

壹、目的:
為落實瑞竣科技股份有限公司(以下簡稱本公司)資通安全管理系統有效運作且持續改善,特訂定本程序,以確立資通安全組織之功能與權責分工。

貳、適用範圍:
本程序書適用於本公司ISMS資通安全相關業務作業流程。

參、權責:
資通安全組織架構及權責詳如「伍、作業說明,第一節」內容。

肆、名詞定義:
資訊安全管理系統(Information Security Management System,以下簡稱ISMS)。

伍、作業說明:

一、資通安全組織架構與工作職掌

(一) 組織成員及工作內容:本公司資通安全組織依據資通安全政策編組「資通安全組織成員職掌表(I-2-06-01)」,經本公司資通安全委員會通過並授權相關成員執行資通安全管理工作,其組織架構如下圖所示:

(二) 資通安全委員會組織及職掌:

1. 組織:本公司設置資通安全委員會,由本公司相關主管及資通安全人員組成,本公司總經理為委員會當然委員並兼任資通安全長,委員會名單由資通安全長推薦選任之。
2. 資通安全委員會職掌:該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查,每年應定期或視需要召開管理審查會議。

(三) 資通安全長職掌:

1. 召開與主持本公司系統管理審查會議。
2. 規劃或主持本公司資通安全相關會議。
3. 本公司資通安全事務之分配、協調與督導。
4. 確認資通安全政策與目標一致性。
5. 滿足資通安全相關要求的承諾。
6. 支持持續改善資通安全管理系統運作。

(四) 管理代表及職掌:由本公司資通安全長指派高階主管兼任,協助資通安全長綜理ISMS相關業務,其職掌:

1. 召集各組成員參加ISMS之管理審查會議,管理審查會議重點應包含:
(1) 過往管理審查之議案的處理狀態。
(2) 與ISMS有關之內部及外部議題的變更。
(3) 資通安全績效之回饋(包含不符合項目與矯正措施、監督及量測結果、稽核結果、資訊安全目標之達成等)
(4) 關注方(利害相關者)之回饋。
(5) 風險評鑑結果與風險處理計畫狀態。
(6) 持續改善之機會。
2. 向資通安全長報告ISMS管理審查會議結論、執行成果與改善建議事項(如持續改善機會有關之決策、資通安全管理系統變更之需要等)。
3. 協調、監督及執行ISMS各項資通安全工作。
4. 負責對資通安全狀況進行預警、監控,並對資通安全狀況與事件進行處置。
5. 監督資通安全工作小組執行資通安全委員會所決議之事項。
6. 督導資通安全政策之修訂與審核外部評鑑結果。
7. 督導資通安全政策之修訂與審核外部評鑑結果。
8. 每年修訂資通安全量化目標。
9. 彙總資通風險改善建議,於資通安全委員會之會議中討論。
10. 督導定期與不定期風險評估作業之實施。
11. 擔任本公司資通安全事件對外統一發言人。

(五) 資通安全工作小組:由資通安全長或管理代表指派本公司各部門資通安全相關人員組成,負責規劃及執行各項資通安全作業,該小組職責如下:

1. 制定資通安全風險管理制度,每年定期或不定期執行風險評估作業。
2. 持續不斷的評估與檢討風險管理之具體成效。
3. 每年定期或不定期審查風險評估的結果與風險改善處理計畫。
4. 負責每年定期或不定期資訊資產盤點、彙整、造冊與管理作業。
5. 負責每年定期或不定期執行ISMS驗證範圍內資訊資產風險評估作業。
6. 負責執行資通安全風險管理作業(包括風險改善計畫、風險改善計畫之後續追蹤與管控)等事宜。
7. 接受內外部評鑑稽核與執行應改善事項。
8. ISMS四階文件及外來文件之控管。
9. ISMS教育訓練之規劃執行。
10. ISMS四階文件之制修訂評估與檢討。
11. 資通安全技術規範之研議、評估、建置等事項。
12.「資通安全組織成員職掌表」由資通安全工作小組負責定期更新。

(六) 緊急應變與事件通報小組:本小組為任務編組,由資通安全長或管理代表指派本公司各部門核心資通系統負責人員組成,其成員權責如下:

1. 技術支援資通安全事件之預防、應變及復原處理作業。
2. 技術支援資通安全事件回報與事件處理。
3. 技術支援監控、記錄與調查資通安全事件。
4. 協助本公司各資訊資產權責單位建立、演練與維護核心資通系統之業務持續計畫。
5. 彙整本公司各維護核心資通系統業務持續計畫之演練成果報告。

(七) 內部稽核小組:本小組為任務編組,由管理代表指派本公司各部門具有ISO 27001主導稽核員有效證照者組成之,負責評估資訊安全管理制度之執行情形,其成員權責如下:

1. 擬定資通安全內部稽核計畫。
2. 執行資通安全內部稽核
3. 撰寫資通安全內部稽核報告。
4. 追蹤不符合或應改善事項之執行情形。

二、組織間的合作及協調

(一) 應建立與本資通安全管理系統運作相關之「外部單位聯絡清單」。
(二)「外部單位聯絡清單(I-2-06-02)」由資通安全工作小組負責定期更新。

陸、相關文件與使用表單:

一、相關文件:

(一) 資通安全政策(I-1-01)

二、使用表單:

(一) 資通安全組織成員職掌表(I-2-06-01)
(二) 外部單位聯絡清單(I-2-06-02)