桃園市政府消防局資訊安全組織設置要點
中華民國107年8月1日桃消秘字第1070025592號書函訂定
一、桃園市政府消防局(以下簡稱本局)為落實資訊安全管理與執行,特設本局資訊安全組織,並訂定本要點。
二、本局資訊安全組織分為常設型及專案型。
三、常設型資訊安全組織置主任委員、副主任委員,下置資通總組長,資通總組長下設稽核組、規劃組及執行組。
四、常設型資訊安全組織主任委員為業務管理副局長。主要任務為:
(一)審核並頒行資訊安全政策及不定期督導管理階層。
(二)資訊安全管理系統之審核、核定及不定期督導管理階層。
(三)內部稽核結果審核。
(四)審核外部評鑑結果。
(五)四級資安事件之審核。
五、常設型資訊安全組織副主任委員為救災救護指揮中心主任。主要任務為:
(一)審核並督導資訊安全政策。
(二)審核並不定期督導資訊安全管理系統。
(三)審核風險評鑑的結果。
(四)風險處理計畫結果審核、核定。
(五)持續運作計畫結果審核、核定。
(六)內部稽核核定。
(七)資安小組不定期督導。
(八)外部評鑑督導。
(九)矯正與預防措施核定。
(十)三級資訊安全事件之審核。
(十一)資訊安全觀念與控管機制督導。
(十二)執行主任委員交辦事項。
六、常設型資訊安全組織資通總組長為救災救護指揮中心業務管理股長。主要任務為:
(一)資訊安全政策審核與管理。
(二)資訊安全管理系統審核與管理。
(三)風險評鑑之審核與不定期督導。
(四)風險處理計畫之審核與不定期督導。
(五)持續運作計畫之審核與不定期督導。
(六)資訊安全報告之議題擬定。
(七)資訊安全小組之管理與督導。
(八)外部評鑑之主導、參與。
(九)矯正與預防錯失審查改善措施有效性。
(十)一、二級資安事件之審核。
(十一)資訊安全觀念與控管之機制。
(十二)執行上層交辦事項。
七、常設型資訊安全組織稽核組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全政策之稽核。
(二)資訊安全管理系統之稽核。
(三)內部稽核之執行。
(四)外部評鑑之參與。
(五)執行上層交辦事項。
八、常設型資訊安全組織執行組由救災救護指揮中心資訊人員及各系統業務承辦人員擔任。主要任務為:
(一)資訊安全政策執行與建議。
(二)資訊安全管理系統之執行與建議回饋。
(三)風險評鑑之參與討論。
(四)風險處理計畫之討論、擬定與執行。
(五)持續運作計畫之討論、執行與建議回饋。
(六)資訊安全報告提出建議。
(七)內部稽核配合工作。
(八)參與外部評鑑。
(九)矯正及預防措施參與討論以及擬定並落實措施。
(十)資安事件執行應變對策。
(十一)執行上層交辦事項。
九、常設型資訊安全組織規劃組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全政策執行與建議規劃。
(二)資訊安全管理系統推行與建議規劃。
(三)風險評鑑辦理與討論。
(四)風險處理計畫討論與建議。
(五)持續運作計畫的討論與擬定。
(六)資訊安全報告彙整成果與建議。
(七)內部稽核配合。
(八)外部評鑑必要時參與。
(九)矯正及預防錯失參與討論與建議。
(十)資訊安全事件/事故陳報資訊安全組織及中央技術服務中心並提供應變建議。
(十一)資訊安全觀念與控管機制的規劃。
(十二)執行上層交辦事項。
十、 為配合常設型資訊安全組織,全體同仁之任務為:
(一)確實遵循各種規範。
(二)內部稽核配合。
(三)參與執行外部評鑑。
十一、專案型資訊安全組織,為推動資訊安全管理系統過程中,為了執行順暢而設立的組織架構,待資訊安全管理系統達到成熟穩定的狀態後,將有關專案執行過程中的權力,交回給常設性的專案組織架構中。
專案型資訊安全組織置主任委員、副主任委員,下置專案經理,專案經理下設稽核組、制度組、風險控管組及營運持續組。
十二、專案型資訊安全組織主任委員為業務管理副局長。主要任務為:
(一)資訊安全管理系統之審核、核定及不定期督導管理階層。
(二)內部稽核結果審核。
(三)外部評鑑結果審核。
十三、專案型資訊安全組織副主任委員為救災救護指揮中心主任。主要任務為:
(一)資訊安全管理系統審核及不定期督導。
(二)風險評鑑結果審核。
(三)風險處理計畫結果審核與核定。
(四)持續運作計畫結果審核與核定。
(五)資訊安全報告結果審核與核定。
(六)內部稽核報告核定。
(七)資安小組不定期督導。
(八)外部評鑑督導。
(九)矯正與預防措施核定。
(十)其他執行主任委員交辦事項。
十四、專案型資訊安全組織專案經理為救災救護指揮中心業務管理股長。主要任務為:
(一)資訊安全管理系統審核與管理。
(二)風險評鑑審核與不定期督導。
(三)風險處理計畫審核與不定期督導。
(四)持續運作計畫審核與不定期督導。
(五)資訊安全報告擬定議題。
(六)資安小組管理與定期督導。
(七)外部評鑑之主導、參與。
(八)矯正及預防措施審查改善措施有效性。
(九)執行上層交辦事項。
十五、專案型資訊安全組織稽核組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統之稽核。
(二)內部稽核執行。
(三)外部評鑑參與。
(四)內部稽核過程中發現缺失的矯正及預防措施及有效性審查。
(五)上層交辦事項。
十六、專案型資訊安全組織制度組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統規劃及推行。
(二)資訊安全管理系統之增加、修改或刪除作業。
(三)資訊安全報告之彙整成果與建議。
(四)內部稽核的配合。
(五)外部評鑑的參與。
(六)執行上層交辦事項。
十七、專案型資訊安全組織風險控管組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統建議回饋。
(二)風險評鑑的辦理與討論。
(三)風險處理計畫討論與建議。
(四)資訊安全報告彙整成果與提出建議。
(五)內部稽核配合工作。
(六)外部評鑑必要時參與。
(七)矯正及預防措施參與討論與建議。
(八)執行上層交辦事項。
十八、專案型資訊安全組織營運持續組由救災救護指揮中心資訊人員及各系統業務承辦人員擔任。主要任務為:
(一)資訊安全管理系統執行與建議回饋。
(二)風險評鑑參與討論。
(三)風險處理計畫討論、擬定與執行。
(四)持續運作討論並執行與建議回饋。
(五)資訊安全報告提出建議。
(六)內部稽核配合工作。
(七)外部評鑑的參與。
(八)矯正及預防措施參與討論與擬定並落實措施。
(九)執行上層交辦事項。
十九、為配合專案型資訊安全組織,全體同仁之任務為:
(一)確實遵循各種規範。
(二)內部稽核配合。
(三)參與執行外部評鑑。
二十、資訊安全組織任務之執行,應依照本局資訊安全手冊及相關管理程序之規範事項。
一、桃園市政府消防局(以下簡稱本局)為落實資訊安全管理與執行,特設本局資訊安全組織,並訂定本要點。
二、本局資訊安全組織分為常設型及專案型。
三、常設型資訊安全組織置主任委員、副主任委員,下置資通總組長,資通總組長下設稽核組、規劃組及執行組。
四、常設型資訊安全組織主任委員為業務管理副局長。主要任務為:
(一)審核並頒行資訊安全政策及不定期督導管理階層。
(二)資訊安全管理系統之審核、核定及不定期督導管理階層。
(三)內部稽核結果審核。
(四)審核外部評鑑結果。
(五)四級資安事件之審核。
五、常設型資訊安全組織副主任委員為救災救護指揮中心主任。主要任務為:
(一)審核並督導資訊安全政策。
(二)審核並不定期督導資訊安全管理系統。
(三)審核風險評鑑的結果。
(四)風險處理計畫結果審核、核定。
(五)持續運作計畫結果審核、核定。
(六)內部稽核核定。
(七)資安小組不定期督導。
(八)外部評鑑督導。
(九)矯正與預防措施核定。
(十)三級資訊安全事件之審核。
(十一)資訊安全觀念與控管機制督導。
(十二)執行主任委員交辦事項。
六、常設型資訊安全組織資通總組長為救災救護指揮中心業務管理股長。主要任務為:
(一)資訊安全政策審核與管理。
(二)資訊安全管理系統審核與管理。
(三)風險評鑑之審核與不定期督導。
(四)風險處理計畫之審核與不定期督導。
(五)持續運作計畫之審核與不定期督導。
(六)資訊安全報告之議題擬定。
(七)資訊安全小組之管理與督導。
(八)外部評鑑之主導、參與。
(九)矯正與預防錯失審查改善措施有效性。
(十)一、二級資安事件之審核。
(十一)資訊安全觀念與控管之機制。
(十二)執行上層交辦事項。
七、常設型資訊安全組織稽核組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全政策之稽核。
(二)資訊安全管理系統之稽核。
(三)內部稽核之執行。
(四)外部評鑑之參與。
(五)執行上層交辦事項。
八、常設型資訊安全組織執行組由救災救護指揮中心資訊人員及各系統業務承辦人員擔任。主要任務為:
(一)資訊安全政策執行與建議。
(二)資訊安全管理系統之執行與建議回饋。
(三)風險評鑑之參與討論。
(四)風險處理計畫之討論、擬定與執行。
(五)持續運作計畫之討論、執行與建議回饋。
(六)資訊安全報告提出建議。
(七)內部稽核配合工作。
(八)參與外部評鑑。
(九)矯正及預防措施參與討論以及擬定並落實措施。
(十)資安事件執行應變對策。
(十一)執行上層交辦事項。
九、常設型資訊安全組織規劃組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全政策執行與建議規劃。
(二)資訊安全管理系統推行與建議規劃。
(三)風險評鑑辦理與討論。
(四)風險處理計畫討論與建議。
(五)持續運作計畫的討論與擬定。
(六)資訊安全報告彙整成果與建議。
(七)內部稽核配合。
(八)外部評鑑必要時參與。
(九)矯正及預防錯失參與討論與建議。
(十)資訊安全事件/事故陳報資訊安全組織及中央技術服務中心並提供應變建議。
(十一)資訊安全觀念與控管機制的規劃。
(十二)執行上層交辦事項。
十、 為配合常設型資訊安全組織,全體同仁之任務為:
(一)確實遵循各種規範。
(二)內部稽核配合。
(三)參與執行外部評鑑。
十一、專案型資訊安全組織,為推動資訊安全管理系統過程中,為了執行順暢而設立的組織架構,待資訊安全管理系統達到成熟穩定的狀態後,將有關專案執行過程中的權力,交回給常設性的專案組織架構中。
專案型資訊安全組織置主任委員、副主任委員,下置專案經理,專案經理下設稽核組、制度組、風險控管組及營運持續組。
十二、專案型資訊安全組織主任委員為業務管理副局長。主要任務為:
(一)資訊安全管理系統之審核、核定及不定期督導管理階層。
(二)內部稽核結果審核。
(三)外部評鑑結果審核。
十三、專案型資訊安全組織副主任委員為救災救護指揮中心主任。主要任務為:
(一)資訊安全管理系統審核及不定期督導。
(二)風險評鑑結果審核。
(三)風險處理計畫結果審核與核定。
(四)持續運作計畫結果審核與核定。
(五)資訊安全報告結果審核與核定。
(六)內部稽核報告核定。
(七)資安小組不定期督導。
(八)外部評鑑督導。
(九)矯正與預防措施核定。
(十)其他執行主任委員交辦事項。
十四、專案型資訊安全組織專案經理為救災救護指揮中心業務管理股長。主要任務為:
(一)資訊安全管理系統審核與管理。
(二)風險評鑑審核與不定期督導。
(三)風險處理計畫審核與不定期督導。
(四)持續運作計畫審核與不定期督導。
(五)資訊安全報告擬定議題。
(六)資安小組管理與定期督導。
(七)外部評鑑之主導、參與。
(八)矯正及預防措施審查改善措施有效性。
(九)執行上層交辦事項。
十五、專案型資訊安全組織稽核組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統之稽核。
(二)內部稽核執行。
(三)外部評鑑參與。
(四)內部稽核過程中發現缺失的矯正及預防措施及有效性審查。
(五)上層交辦事項。
十六、專案型資訊安全組織制度組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統規劃及推行。
(二)資訊安全管理系統之增加、修改或刪除作業。
(三)資訊安全報告之彙整成果與建議。
(四)內部稽核的配合。
(五)外部評鑑的參與。
(六)執行上層交辦事項。
十七、專案型資訊安全組織風險控管組由救災救護指揮中心資訊人員擔任。主要任務為:
(一)資訊安全管理系統建議回饋。
(二)風險評鑑的辦理與討論。
(三)風險處理計畫討論與建議。
(四)資訊安全報告彙整成果與提出建議。
(五)內部稽核配合工作。
(六)外部評鑑必要時參與。
(七)矯正及預防措施參與討論與建議。
(八)執行上層交辦事項。
十八、專案型資訊安全組織營運持續組由救災救護指揮中心資訊人員及各系統業務承辦人員擔任。主要任務為:
(一)資訊安全管理系統執行與建議回饋。
(二)風險評鑑參與討論。
(三)風險處理計畫討論、擬定與執行。
(四)持續運作討論並執行與建議回饋。
(五)資訊安全報告提出建議。
(六)內部稽核配合工作。
(七)外部評鑑的參與。
(八)矯正及預防措施參與討論與擬定並落實措施。
(九)執行上層交辦事項。
十九、為配合專案型資訊安全組織,全體同仁之任務為:
(一)確實遵循各種規範。
(二)內部稽核配合。
(三)參與執行外部評鑑。
二十、資訊安全組織任務之執行,應依照本局資訊安全手冊及相關管理程序之規範事項。