|
|
3.安全組織(CC-13000,年度查核)
(1)公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、監
控及執行資訊安全管理作業,且相關人員之工作職掌與兼辦業務情形
應符合規定。
(2)公司應指定副總經理或高層主管人員,負責資訊安全管理事項之協調
及推動,並得視需要,成立跨部門之「資訊安全推行小組」,統籌資
訊安全政策、計畫、資源調度等事項之協調、研議。
(3)公司應視資訊安全管理需要,指定專人或專責單位負責規劃與執行資
訊安全工作,且每年應定期參加十五小時以上資訊安全專業課程訓練
或職能訓練並通過評量。其他使用資訊系統之從業人員,每年應至少
接受三小時以上資訊安全宣導課程。
(4)公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學者
專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
(5)資訊處理部門與業務單位之權責,應明確劃分。
|
|