[精选]资讯安全管理政策与审查

《[精选]资讯安全管理政策与审查》由会员分享，可在线阅读，更多相关《[精选]资讯安全管理政策与审查（95页珍藏版）》请在装配图网上搜索。

1、5-15-2 Module 1：資訊安全管理概論 Module 2：資訊安全風險 Module 3：先期規劃 Module 4：風險評鑑 Module 5：資訊安全政策 Module 6：資訊安全管理組織 Module 7：資產管理 Module 8：人力資源管理 Module 9：實體與環境安全管理 5-3 Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Module 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管

2、理審查 Module 18：持續改進5-45-51.本模組目的在於學習資訊安全政策之基本概念、資安政策之實施要點，以及資安政策之範例等。2.本模組的重點是瞭解什麼是資訊安全政策，以及資安政策之實施要點，包括：資安政策文件內容、資安政策之公布傳達，以及資安政策之審查等。並透過某公司與某大學資訊中心IDC機房ISMS政策之範例，具體瞭解資安政策。5-6 Module 5-1：概述 Module 5-2：實施要點 Module 5-3：範例 參考文獻 習題5-75-8 資安政策（Information Security Policy）是組織建置資安管理制度不可或缺的重要元素。資安政策是管理階層依照組

3、織營運要求（如：保護公司資產、保護客戶資訊、）、相關法律、法規（如：個人資料保護法、智慧財產權、組織營業秘密保護法、）與客戶合約要求，對組織資安管理提出執行方向與支持承諾。5-9 如同組織的經營願景與方向，管理階層必須設定並提出與營運目標一致之明確資安政策指示。經由溝通與發布至整個組織，展現對資訊安全的支持與承諾。當組織訂有明確的資安政策後，所有同仁將可清楚認知資安責任。只要落實政策要求，將可達成資安管理目標，提供交易夥伴信心，增加商業機會及營運競爭力。5-105-11 資安政策文件應陳述管理階層的承諾，提出組織管理資訊安全的作法，由管理階層核准，並公布傳達給所有員工與相關外部團體。5-12

4、資安政策文件一般包括下列事項的具體陳述：（可參閱例5-1）資安政策目的及範圍：闡述資安政策之目的，明確界定資安範圍，強調保護資訊之安全制度重要性。5-13 管理階層意向的聲明：資安政策應能明確看出管理階層之資安態度及期望。除其展現支持與營運策略目標一致的資安目的及原則外，並應適當提供資源，表達對資安之支持與承諾。5-14 資安目標：說明組織所設定的資安目標，以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化，以利審查資安活動之有效性及適切性。如：年度資安事件數量、重要資訊系統之可用率，或資訊處理之正確率等。5-15 風險評鑑與風險管理的結構：說明組織如何運用風險評鑑方法對風險進

5、行評估，及如何設定各項控制目標與控制措施，對風險進行處理及管理。有關風險評鑑及風險處理，請參閱Module 4。5-16 資安責任：界定資安管理的一般與特定責任，資安政策尚應包括核准、審查及評估安全政策之管理責任。例如：最高管理階層負有核准、審查之責，各管理階層負有評估、修正之責，所有同仁負有遵循責任等。5-17 法令法規遵循性(Compliance)：考量營運與法律或法規要求，以及合約的安全義務，簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。遵循法律、法規及合約要求。安全教育、訓練及認知要求。營運持續管理（Business Continuity Management,BCM）。

6、違反資訊安全政策的後果。5-18 政策支援文件：資安政策可能會需要其他支援補充文件。例如：針對特定資訊系統所展開的細部安全政策和程序，或使用者應遵循的安全規則，可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者，以其方便取得及易於瞭解的形式，向整個組織的使用者傳達。5-19 其他注意事項：資安政策可視為一般管理政策文件的一部分。若資安政策散布至組織外，應注意避免揭露組織敏感性資訊。5-20 資安政策制定後，應透過適當方式公布及傳達至所有相關組織及人員（包括外部團體及第三方使用者），以使同仁清楚瞭解政策內容，有效落實安全要求。5-21 政策公布及傳達方式

7、，可考慮組織特性及文化而定，可參考下列作法：張貼公告。以電子形式傳遞給所有人員週知（例如：電子郵件）。政令宣導方式。管理會議中宣達。5-22 教育訓練方式（須著重於訓練之有效性）。主動告知模式（例如：外部人員或訪客，於到訪時主動告知資安政策，並要求遵循配合）。合約或協議形式（例如：委外合約中提及資安政策相關要求）。5-23 傳達及溝通方式之重點，在使相關人員能夠意識其資安責任，任何形式的傳達溝通，應避免流於形式，而應著重效果。特別值得注意的是，如何使外部團體或人員（包括：委外廠商、第三方使用者或訪客等）瞭解組織的資安政策及要求，傳達方式應考慮其可行性及有效性。例如：在訪客會客櫃台處公告相關資安

8、政策及要求，並由接待人員提醒訪客遵守。5-24 資安政策攸關資安管理之成敗，故必須確保其一貫性並適用於整個組織。資安政策應於規劃期間或當發生重大變更時進行審查，以確保其持續的適用性、充分性及有效性。5-25 例如：組織可定期於年度管理階層審查會議中，審查資安政策是否持續適用，或討論是否須作任何調整修改。或當組織發生重大變更時，如：組織策略、規模、地點、高階管理人員、產品、技術或服務等營運內容改變時，立即進行不定期審查。5-26 資安政策審查應包括評估組織資安及管理方法之改進空間，以因應組織環境、營運環境、法律條件或技術環境的改變。資安政策審查應與管理審查結果方向一致。有關管理審查，將詳細說明於

9、Module 17。5-275-28 目的目的(Objective)此文件說明”XX公司資訊安全管理系統”之資安政策，係依據資訊安全管理標準ISO 27001：2005（CNS 27001）制定，並依此作為執行資訊安全管理系統之方向。5-29 範圍範圍(Scope)本資訊安全管理系統適用於本公司全部範圍及所有業務，包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等所有相關資訊資產。5-30 資安政策聲明(Information Security Policy Statement)5-31 本公司將確保:為保護本公司的相關資訊資產，包括實體軟硬體設施、資料、資訊等安全，免於因外在的

10、威脅或內部人員不當的管理遭受洩密、破壞或遺失等風險，特制訂本政策，以供全體同仁共同遵循。5-32 安全目標安全目標(Security Objective)零資安事件 帳務處理之正確率99.95%帳務資訊系統之可用率99.97%5-33 責任責任(Responsibilities)本公司高階主管應適時覆核、修訂本政策，以確保該政策符合現行需求。資訊安全管理人員應透過適當程序落實本政策之要求。全體員工、約聘人員及簽約廠商都有責任遵循本安全政策。全體員工都有責任透過適當回報系統，回報所發現的資訊安全意外事故或資訊安全弱點。任何危及資訊安全的行為，都應訴諸適當的懲罰程序或法律行動。相關的資訊安全措施或

11、規範應符合現行法令的要求。5-34 本公司成立資安委員會，依資安政策及資安管理手冊相關本公司成立資安委員會，依資安政策及資安管理手冊相關要求，負責管理本公司資訊安全，其組織職責如下：要求，負責管理本公司資訊安全，其組織職責如下：主席（資訊安全管理代表）：總經理。負責安全政策制定，定期主持安全管理會報、。召集人（資訊安全管理代表代理人）：副總經理。負責。委員（各部門主管）：業務部經理：XXX。負責。研發部經理：XXX。負責。資訊部經理：XXX。負責。5-35 風險評鑑風險評鑑(Risk Assessment)本公司依據已鑑別之企業資訊安全以及法律與法規要求，特制定適合本資訊安全管理系統之系統化風

12、險評鑑方法。並設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。詳細作業程序參考下列文件:風險評鑑程序文件參考資料 RA 011 資產鑑別作業辦法 文件參考資料 AI 111 資產清單記錄編號 AL 001 風險評鑑報告記錄編號 RA 0015-36 風險處理與管理風險處理與管理(Risk Treatment&Management)控制措施作業辦法 文件參考資料 00113 風險管理程序 文件參考資料 RM 001 安全會報總結報告5-37 適用性聲明適用性聲明(Statement of Applicability)文件參考資料 001105-38 參考文件參考文件(Reference

13、s)資安組織程序參考編號 XXXX 資產管理程序參考編號 XXXX 人員安全程序參考編號 XXXX 實體安全程序參考編號 XXXX 資訊備份程序參考編號 XXXX 存取管制程序參考編號 XXXX 系統開發程序參考編號 XXXX 事故管理程序參考編號 XXXX 營運持續程序參考編號 XXXX 風險評鑑程序參考編號 XXXX 風險管理程序參考編號 XXXX 文件管制程序參考編號 XXXX 5-395-40 目標 範圍 權責 管理原則 要求事項 參考文件 附件5-41 目標目標 XX大學資訊中心IDC（Internet Data Center,網際網路數據中心）機房乃提供本校校級伺服器集中管理之機房

14、，其資訊的品質及資訊安全是資訊中心的命脈，因此資訊中心的資訊安全管理系統(Information Security Management Systems,ISMS)之首要目標，在於確保IDC持續運作之安全性、穩定性及備份的機密性、完整性及可用性，尤以機房實體安全是IDC安全管理的重點。5-42 範圍範圍 ISMS範圍：位於XX大學XX大樓的資訊中心IDC機房實體安全及資料備份與復原。此範圍為資訊中心之命脈。基於安全需求，由資訊中心先行推動ISMS，至於其他資訊系統、網路，因涉及全校各單位(教職員生)，尚須多方面溝通協調及配合，將視協商情況逐步納入驗證範圍。適用範圍：XX大學資訊中心IDC之實體

15、維運、TSM（Tivoli Storage Manager,Tivoli公司的儲存體管理系統）資料備份、回復作業相關人員、聘僱人員及於本機房作業之非本中心人員。5-43 權責權責 本ISMS政策由資訊安全委員會負責審核與修訂，經XX大學資訊中心主任覆核後發佈。5-44 管理原則管理原則 必須建立適當的資訊安全管理組織，包括對於資訊安全的控制方法，執行必要的技術性檢查，對於資訊安全事件進行通報、處置、以及對於ISMS進行稽核與審查。對於所面臨之資訊風險，必須進行有系統的風險評估。風險評估須將法律責任及業務營運一併列入資訊安全的考量。資訊風險管理必須以風險評估之結果作為決策之依據，並兼顧其成本效益

16、。5-45 對於資訊系統之新增及變更須進行安全驗證，以確保其設計符合資訊安全之要求，並經適當層級人員的核准後方可上線。對於機房實體安全及資料備份、回復業務之持續營運，必須制定業務持續營運計畫並適時演練以維持其有效性。中心人員對於ISMS政策及相關規定的遵循，主管負有行政監督之職責，並須確保ISMS政策之確實執行。ISMS須遵照規劃(Plan)、建置(Do)、監督(Check)、改善(Act)之管理循環原則。人員違反本政策相關規定，依情節輕重報本校相關單位處置。將國際資訊安全標準規範作為ISMS的重要參考。5-46 要求事項要求事項資訊安全責任及組織資訊安全責任及組織 設置資訊安全委員會，負責I

17、SMS相關事項之規劃、督導及協調溝通。資訊安全委員會下設資訊安全官，除協助推動資訊安全委員會決議事項外，並負責督導所設置資訊安全作業小組之資訊安全相關作業，對資訊安全狀況進行預警、監控，並依據資訊安全委員會的授權對資訊安全狀況與事件進行處置。資訊安全委員會下設資訊安全稽核小組，資訊安全稽核小組負責評估ISMS之落實與遵行情形。資訊安全相關作業由各作業負責人負責執行。人員之資訊安全職責須在工作職掌說明中明確描述，對各工作角色須符合適當的權責區分。有關資訊安全組織的細部設計及運作方式，規範於資訊安全組織辦法。5-47 ISMS整體目標整體目標 ISMS整體目標的訂定應考量ISMS政策、風險評鑑結果

18、、資安事件及事故發生之狀況，並依各目標項目建立ISMS資訊安全目標KPI衡量表(詳附件一)，提報資訊安全管理審查會議進行審查。5-48電力系統無中斷服務。空調系統無中斷服務。IDC機房內設施未因門禁管制作業之疏失導致失竊或遭不當破壞。作業管理組備份作業所負責之用戶端備份資料無不當洩漏情事。作業管理組備份作業所負責之重要用戶端備份資料，可於該用戶端作業需要時，於十二小時內提供。5-49維持每年EMS（Environment Monitoring System,環境監控系統）之中斷時間不超過四十小時。維持CCTV（Closed Circuit Television,閉路電視）安全監控系統無中斷服務

19、，以及任何時間起算一個月內，錄影資料之完整保存。EMS環境監控系統、CCTV安全監控系統無任何電腦病毒感染事件。EMS環境監控系統、CCTV安全監控系統、TSM（Tivoli Storage Manager）備份作業系統未因系統入侵事件，造成上述系統無法提供服務。5-50資訊資產分類分級資訊資產分類分級資訊資產須指派擁有者、使用者，且須依照資訊資產分類分級管理辦法，維持資訊資產清冊的正確性。資訊資產分為資訊類資產、軟體資產、硬體資產及服務資產等四類，並依據資訊資產清冊之分級制定管理方式。有關各類別的資訊資產管理原則，規範於資訊資產分類分級辦法。5-51存取控管存取控管應針對使用者或群組所能存取

20、的資料、系統及實體區域環境設定存取權限。存取權限之設計須依據職務所需最少資訊原則。人員若有職位變動，須立即變更其存取權限。為確保存取權限之適當、正確，人員之存取權限應有定期覆核機制。有關資訊存取管理原則，規範於資訊存取控制安全政策。5-52風險評估及風險管理風險評估及風險管理須對於相關之營運，執行資訊安全風險評估及風險管理。風險評估過程須包括資訊資產清點、威脅評估與弱點評估、既有控制方法確認、既有控制方法有效性評估、風險程度評估、可行性控制方法建議等步驟。風險管理須包括設定安全保障水準、評估控制方法的成本效益、考量相關的法律因素等。營運組織或營運環境變遷，致作業程序有重大變更時，應比照上述原則

21、重新進行風險評估及風險管理。有關風險評估及風險管理之具體執行步驟及要求，規範於資訊安全風險評估暨管理辦法。5-53文件及紀錄管制文件及紀錄管制作業管理組之文件及紀錄管理，依照ISMS文件及紀錄管理辦法之規定辦理。文件及紀錄管制之範圍，適用於XX大學資訊中心ISMS所發行之所有文件、紀錄、請購及相關驗收結案文件、以及廠商技術文件。相關文件之層級、機密等級、文件建立/修訂/審查/頒布、文件之納管/編號/版本、調閱、保存、銷毀以及紀錄的歸檔、機密等級、管制作業及編號方式，規範於ISMS文件及紀錄管理辦法。5-54實體安全實體安全採取適當的門禁管制，以防止對資訊資產不當存取或造成損害，重要的資訊處理設

22、施應設置於有適切門禁管制之場所。非經授權之人員，須由授權之相關業務人員陪同且登記，始可進出IDC機房。非資訊中心人員及非例行業務執行人員，不得進出作業管理組辦公區域，須先至服務台隔離查詢，確認進入許可後並登記後，始可進出辦公區域。人員須遵守電腦螢幕保護及桌面淨空原則，抽屜及櫥櫃之保管人在離開時須上鎖，資訊安全官應監督上述規範之落實。有關實體安全之具體要求，規範於實體安全管理辦法。5-55網路安全網路安全採取適當的網路防護措施，以防止相關電腦系統遭受不當存取或損害，重要之主機系統應有適切之防護措施。有關網路安全之具體要求，規範於網路管理辦法。5-56病毒及惡意軟體之防範病毒及惡意軟體之防範電腦系

23、統須建置防範電腦病毒及惡意軟體之機制。維運相關人員並須依照規定更新電腦病毒碼與系統漏洞。如為測試目的所進行之軟體安裝，應於隔離之測試系統上進行。除了所核准並經合法授權之系統及應用軟體外，禁止使用其它軟體。單位主管應確保所屬之電腦系統合於規定，應不定期依事先核准之系統及應用軟體清單做查核。有關防範病毒及惡意軟體之具體要求，規範於電腦病毒防治管理辦法。5-57人員資格及訓練人員資格及訓練為了使ISMS相關人員具備足夠之勝任度並且瞭解其所擔任之工作對於ISMS運作的貢獻及重要性，於資訊安全人員資格暨教育訓練管理辦法中，明定相關人員應具備之基本專業技能及相關經驗，以及教育訓練規畫方式，以利人力素質之提

24、昇。5-58網路及個人電腦使用網路及個人電腦使用網路及個人電腦僅供處理公務使用，禁止非公務用途之使用。有關人員使用網路及個人電腦，規範於個人電腦管理辦法。5-59資訊安全事件或事故通報及處理資訊安全事件或事故通報及處理資訊安全事件或事故在發現時須立即通報，依照程序研判發生原因、損害程度及可能影響範圍，並採取適當之控制對策，所有採取之行動及所作之研判必須加以記錄。有關資訊安全事件通報及處理之具體執行步驟及要求，規範於資訊安全事件處理辦法。5-60營運持續管理營運持續管理須依照營運衝擊分析之結果制定災害復原程序，此程序需能確保服務符合相關人員的需求，並對所訂之程序進行測試及評估。程序中相關人員，須

25、熟悉在該程序中所負責之工作內容及執行步驟。有關營運持續之管理作業，規範於業務持續運作管理辦法。5-61資訊安全稽核資訊安全稽核相關作業負責人須定期對ISMS之實際運作進行評估，評估之結果應由資訊安全委員會覆核。資訊安全稽核小組或委外資訊稽核專家，應依照ISMS的符合性及評估的有效性，執行稽核。有關資訊安全稽核作業規範於ISMS內部稽核管理辦法。5-62矯正及預防行動矯正及預防行動對於ISMS運作過程中，經由稽核、管理審查、日常的監督、風險評估活動及實際執行各項作業中，所發現的不符合或潛在不符合事項及發生之資訊安全事件等進行矯正或預防行動，以持續改善ISMS的運作成效。有關資訊安全矯正及預防措施

26、，規範於矯正及預防措施管理辦法。5-63資訊安全管理審查資訊安全管理審查資訊安全委員會須對ISMS之完整性及有效性執行審查，以確保ISMS足以達成資訊安全目標。有關資訊安全目標達成之衡量指標，記載於ISMS資訊安全目標KPI衡量表。有關本項審查內容及審查頻率，規範於資訊安全管理審查辦法。5-64遵循遵循人員須遵守資訊安全相關法令之規範，特別對於電腦處理個人資料保護法、智慧財產權的規定，應嚴格遵守，並應簽署資訊安全聲明書，以確保均能了解遵循上述法令規範之義務。有關人員資訊安全聲明之內容，規範於員工資訊安全聲明辦法。5-65違反違反違反本ISMS政策及資訊安全相關規範之人員，提報資訊安全委員會檢討

27、。視情節重大程度提報本校人評會懲處，對於違反法令之人員亦報請本校相關單位處理。5-66參考文件參考文件資訊安全組織辦法資訊資產分類分級辦法資訊存取控制安全政策資訊安全風險評估暨管理辦法ISMS文件及紀錄管理辦法實體安全管理辦法網路管理辦法電腦病毒防治管理辦法5-67資訊安全人員資格暨教育訓練管理辦法個人電腦管理辦法資訊安全事件處理辦法業務持續運作管理辦法ISMS內部稽核管理辦法矯正及預防措施管理辦法資訊安全管理審查辦法員工資訊安全聲明辦法5-68衡量期間：項次目標項目KPI指標KPI指標說明計算單位目標值實際值是否達成目標1電力系統無中斷服務。電力系統中斷服務次數IDC機房電力系統中斷服務次數

28、次02空調系統無中斷服務。空調系統中斷服務次數IDC機房空調系統中斷服務次數次03IDC機房內設施未因門禁管制作業之疏失導致失竊或遭不當破壞。IDC機房失竊次數IDC機房內設施因門禁管制作業之疏失導致失竊次數次0IDC機房遭破壞次數IDC機房內設施因門禁管制作業之疏失導致遭不當破壞次數次0 附件附件-ISMS資訊安全目標資訊安全目標KPI（Key Performance Indicators,關鍵績效指標）衡量表關鍵績效指標）衡量表 5-69項次目標項目KPI指標KPI指標說明計算單位目標值實際值是否達成目標4作業管理組備份作業所負責之用戶端備份資料無不當洩漏情事。備份資料洩漏次數作業管理組備

29、份作業所負責之用戶端備份資料，因TSM備份系統管理疏失導致不當洩漏次數次05作業管理組備份作業所負責之重要用戶端備份資料可於該用戶端作業需要時於十二小時內提供。備份資料未能限時內提供還原次數TSM備份作業所負責之重要用戶端備份資料未能於該用戶端作業需要時於十二小時內提供之次數。次05-70項次目標項目KPI指標KPI指標說明計算單位目標值實際值是否達成目標6維持一年EMS環境監控系統之中斷時間不超過四十小時。EMS系統中斷服務時間EMS環境監控系統之中斷服務時間(以半年計)。小時20 7維持CCTV安全監控系統無中斷服務以及任何時間起算一個月內錄影資料之完整保存。CCTV系統中斷服務次數CCT

30、V安全監控系統中斷服務次數次0CCTV錄影資料保存天數CCTV錄影資料平均保存天數，每月抽檢一次，其平均保留天數天30CCTV錄影資料不完整次數查閱CCTV錄影資料,有無法查閱之次數次0 5-71項次目標項目KPI指標KPI指標說明計算單位目標值實際值是否達成目標8EMS環境監控系統、CCTV安全監控系統無任何電腦病毒感染事件。EMS系統中毒次數EMS環境監控系統主機中毒次數次0CCTV系統中毒次數CCTV環境監控系統主機中毒次數次09EMS環境監控系統、CCTV安全監控系統、TSM備份作業系統未因系統入侵事件造成上述系統無法提供服務。EMS系統遭入侵服務中斷次數EMS環境監控系統主機遭入侵服

31、務中斷次數次0CCTV系統遭入侵服務中斷次數CCTV環境監控系統主機遭入侵服務中斷次數次0TSM系統遭入侵服務中斷次數TSM備份作業系統遭入侵服務中斷次數次05-725-73 國家標準CNS 17799資訊技術-安全技術-資訊安全管理之作業規範。國家標準CNS 27001資訊技術-安全技術-資訊安全管理系統-要求事項。ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems Requirements.ISO 27001:2005 Informatio

32、n technology Security techniques Code of practice for information security management.OECD,Guidelines for the Security of Information Systems and Networks Towards a Culture of Security.Paris:OECD,July 2002.5-745-75資安政策是組織對資安的指導原則，適用整體組織無範圍問題。是非5-76資安政策的資安目標是用以建立組織整體意識，故無法具體量化。是非5-77資安政策是一份完整文件但仍需要其他

33、支援補充文件。是非5-78資安政策為組織處理機密文件，應透過適當方式公布及傳達至組織內所有人員以免機密外流。是非5-79資安政策可視為一般管理政策文件的一部分，應注意避免揭露組織敏感性資訊。是非5-80資安政策應明確陳述管理階層之資安態度及期望。是非5-81資安政策訂有施實範圍，故僅範圍內作業人員負有遵循責任。是非5-82資安政策為組織的資安的指導方針，而如何評鑑風險屬執行層次故不在其陳述範圍內。是非5-83管理階層負有評估、修正之責屬資安政策中的特定責任。是非5-84傳達資安政策的方式要求有效可不拘形式。是非5-85(1)最高管理階層(2)管理階層(3)所有人員(4)專業人員資安政策的評估、

34、修正工作，通常是誰責任？5-86(1)資安政策發生重大變更時(2)按固定週期(3)資安政策規劃期間(4)管理階層有空時確保資安政策的適用性、充分性及有效性，應於何時進行審查？(複選)5-87(1)法律(2)合約要求(3)營運(4)人員執行能力資安政策的製定，需遵循下列何者？(複選)5-88(1)知道風險如何評鑑(2)意識其資安責任(3)了解組織的資產威脅(4)了解組織的資產弱點傳達及溝通方式之重點，在使相關人員能夠？5-89(1)資安政策目的(2)法令法規遵循性(3)風險管理的結構(4)組織的資產弱點資安政策文件一般包括下列事項的具體陳述？(複選)5-90(1)經營願景(2)資訊安全承諾的(3

35、)資訊安全作法(4)營運目標資安政策文件應陳述管理階層的？(複選)5-91(1)資安政策審查應包括評估組織資安及管理方法之改進空間(2)資安政策是建置資安管理制度的重要元素(3)資安政策傳達及溝通之重點，在使相關人員能夠了解公司的資產弱點(4)資安政策應明確陳述管理階層之資安態度及期望下列敘述何者錯誤？5-92(1)陳述管理階層的承諾(2)只對資安實施範圍內的人員公布傳達(3)公布傳達給所有員工(4)提出組織管理資訊安全的作法對資安政策文件的陳述何者正確？(複選)5-93(1)效率(2)可行性(3)機動性(4)有效性資安政策的傳達方式應考慮其？(複選)5-94(1)硬體故障(2)產品改變(3)組織策略(4)技術或服務改變資安政策於下列何種情況舉行不定期審查？(複選)