五、資訊安全管理機制建立
各電信事業建立內部資訊安全管理機制,所需執行作業項目,包括防
護縱深、資訊安全管理系統(Information Security Management S-
ystem,ISMS) 推動作業及稽核作業,其與資訊安全等級對應關係,
請參照「資訊安全等級應執行之工作事項表」(附件三):
(一)防護縱深:
1.作業編號之資訊安全等級屬 A 級者:
防護縱深至少包括入侵防護系統(Intrusion Prevention Syst-
em,IPS )、入侵偵測系統(Intrusion Detection System,ID
)、防火牆、防毒。
2.作業編號之資訊安全等級屬 B 級者:
防護縱深至少包括入侵偵測系統、防火牆、防毒。
(二)ISMS 推動作業及稽核作業
電信事業依其資訊安全等級,推動適當之 ISMS ,並就下列事項,
訂定資訊安全管理實施計畫,定期進行內部稽核:
1.資訊安全政策訂定。
2.資訊安全權責分工。
3.人員管理及資訊安全教育訓練。
4.電腦系統安全管理。
5.網路安全管理。
6.系統存取控制管理。
7.系統發展及維護安全管理。
8.資訊資產分類及控管。
9.實體及環境安全管理。
10.業務永續運作計畫管理。
11.其他事項。