【105缺失TOP10系列文章】A15.1.1案例--方清宏老師分享

引言

中華民國刑法、電子簽章法、電子簽章法施行細則、個人資料保護法、個人資料保護法施行細則、教育體系資通安全管理規範、國家機密保護法、國家機密保護法施行細則、行政院及所屬各機關－資訊安全管理規範、行政院及所屬各機關－資訊安全管理要點、著作權法、政府機關(構)資通安全責任等級分級作業規定…等

　　各機關構所引用的外來文件不盡相同，但幾個核心法規如中華民國刑法等是共同遵循的，如近一兩年來個人資料保護法與個人資料保護法施行細則的條文辦法內容都曾有變更，不曉得各位ISMS人員是否於法規更新重新檢視過現行文件並進行編修調整，過往主導稽核員在實地稽核時發現：外來文件更新時可能種種因素導致文件未能做即時的更新。就以下場景

場景：

1. 一般會將相關的法規條文編列在外來文件表裡。

2. ISMS執行一段時間後，負責人員在偷懶情況下都會在相關法規來文後一段時間才會憑記憶再整理，故常常會遺漏一些相關法令法規或辦法。

3. 收公文同仁沒有將相關資安的公文傳達給ISMS負責人員，而造成ISMS負責人員不知有此公文。

A.15.1.1　適用法規之鑑別

說明：蒐集相關法律條文(智慧財產權、資料隱私保護及其他相關法規)、管理規定及合約要求，了解與資訊處理設施、軟體系統的關係，並予以書面或其他方式留存。

　　收公文的同仁可能沒有意識到該法規之重要性或其關聯性而忽略將訊息傳達給ISMS負責人員。

建議作法

1. 不管教育部或相關單位來文，確定是有跟資訊安全有關之文件或法令可立即更新至外來文件表裡，如此就不會容易遺漏相關文件。
2. 建立公文收發人員之資訊安全觀念並要求公文確實之傳達。