【文章內(nèi)容簡(jiǎn)介】 息安全管理要點(diǎn)等有關(guān)法令，衡酌機(jī)關(guān)業(yè)務(wù)需求，參考本規(guī)范訂定信息安全政策，研訂信息作業(yè)之安全水平，并以書(shū)面、電子或其它方式通知員工及與機(jī)關(guān)連線作業(yè)之有關(guān)機(jī)關(guān)（構(gòu)）、廠商。（二）制訂信息安全政策，應(yīng)至少包括下列事項(xiàng)：信息安全之定義、信息安全之目標(biāo)及信息安全之范圍等。 信息安全政策之解釋及說(shuō)明，信息安全之原則、標(biāo)準(zhǔn)，以及員工應(yīng)遵守之規(guī)定，包括： （1）政府法令及契約對(duì)機(jī)關(guān)信息安全之要求及規(guī)定。 （2）信息安全教育及訓(xùn)練之要求。 （3）計(jì)算機(jī)病毒防范之要求。 （4）業(yè)務(wù)永續(xù)運(yùn)作計(jì)劃。 推行信息安全工作之組織、權(quán)責(zé)及分工。 員工應(yīng)負(fù)的一般性及特定的信息安全責(zé)任。 發(fā)生信息安全事件之緊急通報(bào)程序、處理流程、相關(guān)規(guī)定及說(shuō)明。二、信息安全政策之評(píng)估 （一）制訂之信息安全政策，應(yīng)定期進(jìn)行獨(dú)立及客觀的評(píng)估，以反映政府信息安全管理政策、法令、技術(shù)及機(jī)關(guān)業(yè)務(wù)之最新?tīng)顩r，確保信息安全之實(shí)務(wù)作業(yè)，確實(shí)遵守信息安全政策，以及確保信息安全實(shí)務(wù)作業(yè)之可行性及有效性。 （二）信息安全政策評(píng)估作業(yè)，可責(zé)由具有專業(yè)技術(shù)及知識(shí)之內(nèi)部稽核單位、獨(dú)立客觀的資深主管人員，或是委請(qǐng)公正超然的民間專業(yè)組織或團(tuán)體，進(jìn)行信息安全政策執(zhí)行成果之評(píng)估。 （三）應(yīng)定期對(duì)所屬單位及人員進(jìn)行信息系統(tǒng)及技術(shù)應(yīng)用之安全評(píng)估，以確保其遵守信息安全政策及規(guī)定。 應(yīng)列入信息安全評(píng)估的對(duì)象如下： （1）信息設(shè)施及系統(tǒng)提供者。 （2）信息及數(shù)據(jù)擁有者。 （3）使用者。 （4）管理者。 （5）系統(tǒng)維護(hù)者。 （6）其它有關(guān)人員。 信息系統(tǒng)擁有者應(yīng)配合定期的信息安全評(píng)估，檢討相關(guān)人員是否遵守機(jī)關(guān)信息安全政策、規(guī)范及有關(guān)安全規(guī)定。 應(yīng)定期檢討及評(píng)估各項(xiàng)軟、硬設(shè)備的安全性，以確保其符合機(jī)關(guān)訂定的安全標(biāo)準(zhǔn)；評(píng)估對(duì)象應(yīng)包括操作系統(tǒng)之評(píng)估，以確保系統(tǒng)軟件及硬件的安全措施，正確及有效地執(zhí)行。 如專業(yè)人力及經(jīng)驗(yàn)不足，得委請(qǐng)民間專業(yè)組織團(tuán)體或?qū)W者專家之協(xié)助。 系統(tǒng)安全評(píng)估應(yīng)由具有專業(yè)知識(shí)及豐富經(jīng)驗(yàn)的系統(tǒng)工程人員，在權(quán)責(zé)主管人員的監(jiān)督下，以人工的方式執(zhí)行，或是以自動(dòng)化的軟件工具執(zhí)行安全檢查，產(chǎn)生技術(shù)評(píng)估報(bào)告，以利日后解讀分析。（四）信息安全政策及規(guī)定之宣達(dá) 信息安全政策及人員在信息安全應(yīng)扮演之角色及責(zé)任等有關(guān)規(guī)定，應(yīng)在工作說(shuō)明書(shū)或有關(guān)作業(yè)手冊(cè)中載明。 工作說(shuō)明書(shū)或作業(yè)手冊(cè)規(guī)定之信息安全政策、說(shuō)明及規(guī)定，應(yīng)包括執(zhí)行及維護(hù)信息安全政策的一般性責(zé)任規(guī)定、保護(hù)特定信息資產(chǎn)的特別責(zé)任規(guī)定，以及執(zhí)行特別安全程序及作為的特別責(zé)任規(guī)定。 員工如違反信息安全相關(guān)規(guī)定，應(yīng)依紀(jì)律程序處理。 　貳、信息安全組織及權(quán)責(zé)信息安全組織 （一）應(yīng)指定副首長(zhǎng)或高層主管人員，負(fù)責(zé)推動(dòng)、協(xié)調(diào)及督導(dǎo)下列信息安全管理事項(xiàng)： 信息安全政策之核定、核轉(zhuǎn)及督導(dǎo)。 信息安全責(zé)任之分配及協(xié)調(diào)。 信息資產(chǎn)保護(hù)事項(xiàng)之監(jiān)督。 信息安全事件之檢討及監(jiān)督。 其它信息安全事項(xiàng)之核定。 （二）得視需要成立跨部門信息安全推行小組，推動(dòng)下列事項(xiàng)： 跨部門信息安全事項(xiàng)權(quán)責(zé)分工之協(xié)調(diào)。 應(yīng)采用之信息安全技術(shù)、方法及程序之協(xié)調(diào)研議。 整體信息安全措施之協(xié)調(diào)研議。 信息安全計(jì)劃之協(xié)調(diào)研議。 其它重要信息安全事項(xiàng)之協(xié)調(diào)研議。 信息安全組織權(quán)責(zé) （一）信息安全責(zé)任分配 應(yīng)訂定保護(hù)個(gè)人信息資產(chǎn)及執(zhí)行特定信息安全作業(yè)，有關(guān)人員應(yīng)負(fù)之責(zé)任。 應(yīng)訂定有關(guān)人員在信息安全作業(yè)應(yīng)扮演之角色，責(zé)任分配之一般性指導(dǎo)原則，以作為各單位之權(quán)責(zé)分工依據(jù)。 每一系統(tǒng)應(yīng)指定系統(tǒng)擁有者，并課予必要的安全責(zé)任。 應(yīng)明定每一管理者應(yīng)負(fù)的信息安全責(zé)任。 應(yīng)訂定每一系統(tǒng)的信息資產(chǎn)項(xiàng)目，并訂定必要的安全程序及措施。 應(yīng)指定每一項(xiàng)信息資產(chǎn)及信息安全程序的管理人員，并以書(shū)面、電子或其它方式告知其責(zé)任。應(yīng)訂定信息安全之授權(quán)規(guī)定、授權(quán)等級(jí)及授權(quán)程序等，并以書(shū)面、電子或其它方式記錄之。（二）信息安全分工原則 信息安全管理之分工原則如下： （1）信息安全相關(guān)政策、計(jì)劃、措施及技術(shù)規(guī)范之研議，以及安全技術(shù)之研究、建置及評(píng)估相關(guān)事項(xiàng)，由信息單位負(fù)責(zé)辦理。 （2）數(shù)據(jù)及信息系統(tǒng)之安全需求研議、使用管理及保護(hù)等事項(xiàng)，由業(yè)務(wù)單位負(fù)責(zé)辦理。 （3）信息機(jī)密維護(hù)及稽核使用管理事項(xiàng)，由政風(fēng)單位會(huì)同相關(guān)單位負(fù)責(zé)辦理。 設(shè)有稽核單位者，稽核使用管理事項(xiàng)由稽核單位會(huì)同政風(fēng)單位辦理。 未設(shè)置信息及政風(fēng)單位者，由機(jī)關(guān)首長(zhǎng)指定適當(dāng)?shù)膯挝患叭藛T負(fù)責(zé)辦理信息安全管理事項(xiàng)。 業(yè)務(wù)性質(zhì)特殊者，得視實(shí)際需要由首長(zhǎng)調(diào)整上述信息安全分工原則。（三）信息設(shè)施之使用授權(quán) 引進(jìn)及啟用新信息科技（如軟件、硬件、通信及管理措施等），應(yīng)于事前進(jìn)行安全評(píng)估，了解新信息科技之安全保護(hù)措施及水平，并依行政程序經(jīng)權(quán)責(zé)主管人員核淮，始得引用，以免影響既有的信息安全措施。 新信息科技設(shè)施之使用，應(yīng)依下列行政程序辦理： （四）跨機(jī)關(guān)之合作及協(xié)調(diào) 信息安全管理人員應(yīng)與外部的信息安全專家或顧問(wèn)加強(qiáng)協(xié)調(diào)聯(lián)系，相互合作，分享經(jīng)驗(yàn)，以評(píng)估機(jī)關(guān)可能面臨的信息安全威脅，據(jù)以研擬及推動(dòng)信息安全實(shí)務(wù)措施。 應(yīng)與業(yè)務(wù)密切相關(guān)的機(jī)關(guān)、執(zhí)法機(jī)關(guān)、信息服務(wù)提供者及通信機(jī)構(gòu)等，建立及維持適當(dāng)?shù)幕?dòng)管道，以便在發(fā)生信息安全事件時(shí)，能迅速獲得外部的資源協(xié)助，實(shí)時(shí)解決相關(guān)問(wèn)題。 記載信息安全事項(xiàng)之有關(guān)文件或信息，在提供外界使用及進(jìn)行經(jīng)驗(yàn)交流時(shí)，應(yīng)予適當(dāng)?shù)南拗疲苑乐馆d有信息安全細(xì)節(jié)的敏感性信息，遭未經(jīng)授權(quán)的人員取用。（五）信息安全顧問(wèn)及咨詢 信息安全人力、能力及經(jīng)驗(yàn)，如有不足之處，得委請(qǐng)外界的學(xué)者專家或民間專業(yè)組織及團(tuán)體，提供信息安全顧問(wèn)咨詢服務(wù)。 對(duì)委請(qǐng)信息安全顧問(wèn)，或負(fù)責(zé)信息安全之人員，各單位及人員應(yīng)予必要的協(xié)助及支持。參、人員安全管理及教育訓(xùn)練一、人員進(jìn)用之評(píng)估 （一）人員進(jìn)用之安全評(píng)估 進(jìn)用之人員，如其工作職責(zé)須使用處理敏感性、機(jī)密性信息的科技設(shè)施，或須處理機(jī)密性及敏感性信息者，應(yīng)經(jīng)適當(dāng)?shù)陌踩u(píng)估程序。 人員進(jìn)用之安全評(píng)估參考項(xiàng)目如下： （1）個(gè)人性格。 （2）申請(qǐng)者之經(jīng)歷。 （3）學(xué)術(shù)及專業(yè)能力及資格。 （4）人員身分之確認(rèn)。 （5）財(cái)物及信用狀況。（二）機(jī)密維護(hù)之責(zé)任約定 員工使用信息科技設(shè)施，應(yīng)依相關(guān)法令課予機(jī)密維護(hù)責(zé)任，并應(yīng)盡可能簽署書(shū)面約定，以明責(zé)任。 當(dāng)人員任用及約聘雇條件或契約有所變更時(shí)，尤其是人員離職或是約聘雇用契約終止時(shí)，應(yīng)重新檢討機(jī)密維護(hù)責(zé)任約定之妥適性。二、使用者信息安全教育訓(xùn)練 （一）信息安全教育訓(xùn)練 應(yīng)定期對(duì)員工進(jìn)行信息安全教育及訓(xùn)練，促使員工了解信息安全的重要性，各種可能的安全風(fēng)險(xiǎn)，以提高員工信息安全意識(shí)，促其遵守信息安全規(guī)定。 應(yīng)以人員角色及職能為基礎(chǔ)，針對(duì)不同層級(jí)的人員，進(jìn)行適當(dāng)?shù)男畔踩逃坝?xùn)練；信息安全教育及訓(xùn)練的內(nèi)容應(yīng)包括：信息安全政策、信息安全法令規(guī)定、信息安全作業(yè)程序，以及如何正確使用信息科技設(shè)施之訓(xùn)練等。 在同意及授權(quán)使用者存取系統(tǒng)前，應(yīng)教導(dǎo)使用者登入系統(tǒng)的程序，以及如何正確操作及使用軟件。 對(duì)員工進(jìn)行信息安全教育及訓(xùn)練之政策，除適用所屬員工外，對(duì)機(jī)關(guān)外部的使用者，亦應(yīng)一體適用。肆、計(jì)算機(jī)系統(tǒng)安全管理一、計(jì)算機(jī)系統(tǒng)作業(yè)程序及責(zé)任 （一）計(jì)算機(jī)系統(tǒng)作業(yè)程序之訂定 應(yīng)訂定計(jì)算機(jī)系統(tǒng)作業(yè)程序，并以書(shū)面、電子或其它方式載明之，以確保機(jī)關(guān)員工正確及安全地操作及使用計(jì)算機(jī)，并以其作為系統(tǒng)發(fā)展、維護(hù)及測(cè)試作業(yè)的依據(jù)。 計(jì)算機(jī)系統(tǒng)作業(yè)程序應(yīng)載明執(zhí)行每一項(xiàng)計(jì)算機(jī)作業(yè)的詳細(xì)規(guī)定： （1）如何正確地處理數(shù)據(jù)文件。 （2）計(jì)算機(jī)系統(tǒng)作業(yè)時(shí)程的需求，包括與其它系統(tǒng)的相互關(guān)系、作業(yè)啟動(dòng)的最早時(shí)間及作業(yè)結(jié)束的最晚時(shí)間。 （3）處理計(jì)算機(jī)當(dāng)機(jī)及發(fā)生作業(yè)錯(cuò)誤之規(guī)定，以及其它計(jì)算機(jī)系統(tǒng)作業(yè)之限制事項(xiàng)。 （4）如果遭遇非預(yù)期的計(jì)算機(jī)系統(tǒng)作業(yè)技術(shù)問(wèn)題時(shí)，如何與支持人員聯(lián)系之規(guī)定。 （5）數(shù)據(jù)輸出處理的特別規(guī)定，例如：使用特別的文具，或是對(duì)機(jī)密數(shù)據(jù)輸出之管理、計(jì)算機(jī)當(dāng)機(jī)或作業(yè)錯(cuò)誤時(shí)，輸出信息之安全處理規(guī)定等。 （6）計(jì)算機(jī)當(dāng)機(jī)重新啟動(dòng)及回復(fù)正常作業(yè)之程序。 （7）計(jì)算機(jī)及網(wǎng)絡(luò)之日常管理作業(yè)，例如：開(kāi)關(guān)機(jī)程序、數(shù)據(jù)備援、設(shè)備維護(hù)、計(jì)算機(jī)機(jī)房之安全管理；計(jì)算機(jī)系統(tǒng)作業(yè)程序應(yīng)視為正式文件，作業(yè)程序的更改必須經(jīng)權(quán)責(zé)單位核準(zhǔn)。（二）信息安全事件之管理 應(yīng)建立處理信息安全事件之作業(yè)程序，并課予相關(guān)人員必要的責(zé)任，以便迅速有效處理信息安全事件。 發(fā)生信息安全事件之反應(yīng)與處理作業(yè)程序，應(yīng)納入下列事項(xiàng)： （1）計(jì)算機(jī)當(dāng)機(jī)及中斷服務(wù)。 （2）業(yè)務(wù)數(shù)據(jù)不完整，或數(shù)據(jù)不正確導(dǎo)致的作業(yè)錯(cuò)誤。 （3）機(jī)密性資料遭侵犯。 除正常的應(yīng)變計(jì)劃外（如系統(tǒng)及服務(wù)之回復(fù)作業(yè)），信息安全事件之處理程序，尚應(yīng)納入下列事項(xiàng)： （1）導(dǎo)致信息安全事件原因之分析。 （2）防止類似事件再發(fā)生之補(bǔ)救措施的規(guī)劃及執(zhí)行。 （3）計(jì)算機(jī)稽核軌跡及相關(guān)證據(jù)之搜集。 （4）與使用者及其它受影響的人員，或是負(fù)責(zé)系統(tǒng)回復(fù)的人員進(jìn)行溝通及了解。 計(jì)算機(jī)稽核軌跡及相關(guān)的證據(jù)，應(yīng)以適當(dāng)?shù)姆椒ūＷo(hù)，以利下列管理作業(yè)： （1）作為研析問(wèn)題之依據(jù)。 （2）作為研析是否違反契約或是違反信息安全規(guī)定的證據(jù)。 （3）作為與軟件及硬件之供貨商，協(xié)商如何補(bǔ)償之依據(jù)。應(yīng)以審慎及正式的行政程序，處理信息安全及計(jì)算機(jī)當(dāng)機(jī)事件。作業(yè)程序應(yīng)該包括下列事項(xiàng)： （1）應(yīng)在最短的時(shí)間內(nèi)，確認(rèn)已回復(fù)正常作業(yè)的系統(tǒng)及安全控制系統(tǒng)，是否完整及真確。 （2）應(yīng)向管理階層報(bào)告緊急處理情形，并對(duì)信息安全事件詳加檢討評(píng)估，以找出原因及檢討改正。 （3）應(yīng)限定只有被授權(quán)的人員，才可使用已回復(fù)正常作業(yè)的系統(tǒng)及數(shù)據(jù)。 （4）緊急處理的各項(xiàng)行動(dòng)，應(yīng)予詳細(xì)記載，以備日后查考。（三）信息安全責(zé)任之分散 為降低因人為疏忽或故意，導(dǎo)致數(shù)據(jù)或系統(tǒng)遭不法或不當(dāng)之使用，或遭未經(jīng)授權(quán)的人員竄改，對(duì)關(guān)鍵性的信息業(yè)務(wù)，應(yīng)將信息安全管理及執(zhí)行的責(zé)任分散，分別配賦相關(guān)人員必要的安全責(zé)任。必要時(shí)，應(yīng)建立相互制衡機(jī)制。 如信息人力資源許可，應(yīng)盡可能分由不同的人員執(zhí)行下列業(yè)務(wù)及功能： （1）業(yè)務(wù)系統(tǒng)之使用。 （2）資料建文件。 （3）計(jì)算機(jī)作業(yè)。 （4）網(wǎng)絡(luò)管理。 （5）系統(tǒng)行政管理。 （6）系統(tǒng)發(fā)展及維護(hù)。 （7）變更管理。 （8）安全管理。 （9）安全稽核。（四）系統(tǒng)發(fā)展及系統(tǒng)實(shí)作之分開(kāi)處理 系統(tǒng)發(fā)展及測(cè)試作業(yè)可能會(huì)有軟件變更及計(jì)算機(jī)資源共享之情形，為降低可能的風(fēng)險(xiǎn)，應(yīng)將系統(tǒng)發(fā)展及系統(tǒng)實(shí)作的設(shè)施分開(kāi)處理，以減少作業(yè)軟件或數(shù)據(jù)遭意外竄改，或是遭未經(jīng)授權(quán)的存取。 系統(tǒng)發(fā)展及系統(tǒng)實(shí)作之分開(kāi)處理，應(yīng)考慮下列安控措施： （1）系統(tǒng)發(fā)展及系統(tǒng)實(shí)作的軟件，應(yīng)盡可能在不同的處理器上作業(yè)，或是在不同的目錄或領(lǐng)域下作業(yè)。 （2）系統(tǒng)發(fā)展及測(cè)試作業(yè)應(yīng)盡可能分開(kāi)。 （3）編輯器及其它公用程序不再使用時(shí)，不得與操作系統(tǒng)共同存放。 （4）實(shí)作及測(cè)試用的系統(tǒng)，應(yīng)使用不同的登入程序，以減少風(fēng)險(xiǎn)。（五）信息作業(yè)委外服務(wù)之安全管理 信息業(yè)務(wù)委外時(shí)，應(yīng)于事前審慎評(píng)估可能的潛在安全風(fēng)險(xiǎn)（例如數(shù)據(jù)或使用者通行碼被破解、系統(tǒng)被破壞或數(shù)據(jù)損失等風(fēng)險(xiǎn)），并與廠商簽訂適當(dāng)?shù)男畔踩珔f(xié)議，以及課予相關(guān)的安全管理責(zé)任，并納入契約條款。 應(yīng)納入信息委外服務(wù)契約的信息安全事項(xiàng)如下： （1） 涉及機(jī)密性、敏感性或是關(guān)鍵性的應(yīng)用系統(tǒng)項(xiàng)目。 （2）應(yīng)經(jīng)核準(zhǔn)始得執(zhí)行的事項(xiàng)。 （3）廠商如何配合執(zhí)行機(jī)關(guān)業(yè)務(wù)永續(xù)運(yùn)作計(jì)劃。 （4）廠商應(yīng)遵守的信息安全規(guī)范及標(biāo)準(zhǔn)，以及評(píng)鑒廠商遵守信息安全標(biāo)準(zhǔn)的衡量及評(píng)估作業(yè)程序。 （5）廠商處理及通報(bào)信息安全事件的責(zé)任及作業(yè)程序。二、系統(tǒng)規(guī)劃 （一）系統(tǒng)作業(yè)容量之規(guī)劃 應(yīng)隨時(shí)注意及觀察分析系統(tǒng)的作業(yè)容量，以避免容量不足而導(dǎo)致計(jì)算機(jī)當(dāng)機(jī)。 應(yīng)進(jìn)行計(jì)算機(jī)系統(tǒng)作業(yè)容量之需求預(yù)測(cè)，以確保足夠的計(jì)算機(jī)處理及儲(chǔ)存容量。 應(yīng)特別注意系統(tǒng)之作業(yè)容量，預(yù)留預(yù)算及采購(gòu)行政作業(yè)的前置時(shí)間，俾利進(jìn)行前瞻性的規(guī)劃，及時(shí)獲得必要的作業(yè)容量。 系統(tǒng)管理人員，應(yīng)隨時(shí)注意及觀察分析系統(tǒng)資源使用狀況，包括處理器、主儲(chǔ)存裝置、檔案儲(chǔ)存、打印機(jī)及其它輸出設(shè)備及通信系統(tǒng)之使用狀況；管理人員應(yīng)隨時(shí)注意上述設(shè)備的使用趨勢(shì)，尤應(yīng)注意系統(tǒng)在業(yè)務(wù)處理及信息管理上的應(yīng)用情形。 應(yīng)隨時(shí)掌握及利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)容量使用狀況的信息，分析及找出可能危及系統(tǒng)安全的瓶頸，預(yù)作補(bǔ)救措施之規(guī)劃。（二）新系統(tǒng)上線作業(yè)之安全評(píng)估 應(yīng)訂定新系統(tǒng)被認(rèn)可及納入正式作業(yè)的標(biāo)準(zhǔn)，并在新系統(tǒng)上線作業(yè)前，執(zhí)行適當(dāng)?shù)臏y(cè)試。 新系統(tǒng)被認(rèn)可及納入正式作業(yè)的標(biāo)準(zhǔn)，應(yīng)執(zhí)行下列事項(xiàng)： （1）應(yīng)評(píng)估系統(tǒng)作業(yè)效能及計(jì)算機(jī)容量是否滿足機(jī)關(guān)的需求。 （2）應(yīng)檢查發(fā)生錯(cuò)誤后之回復(fù)作業(yè)及系統(tǒng)重新啟動(dòng)程序的準(zhǔn)備作業(yè)，以及信息安全事件之緊急應(yīng)變作業(yè)完備與否。 （3）應(yīng)進(jìn)行新系統(tǒng)正式納入例行作業(yè)程序之準(zhǔn)備及測(cè)試。 （4）應(yīng)評(píng)估新系統(tǒng)的建置是否影響現(xiàn)有的系統(tǒng)作業(yè)，尤其是對(duì)系統(tǒng)尖峰作業(yè)時(shí)段之影響。 （5）應(yīng)辦理新系統(tǒng)作業(yè)及使用者教育訓(xùn)練。 在發(fā)展重要的系統(tǒng)時(shí)，應(yīng)確定系統(tǒng)的功能，以及確保系統(tǒng)的作業(yè)效能，使其足以滿足需求；例如，在系統(tǒng)發(fā)展的每一階段，應(yīng)充分咨詢相關(guān)人員的意見(jiàn)。 新系統(tǒng)上線作業(yè)前，應(yīng)執(zhí)行適當(dāng)?shù)臏y(cè)試作業(yè)，以驗(yàn)證系統(tǒng)功能符合既定的安全標(biāo)準(zhǔn)。（三）預(yù)備作業(yè)之規(guī)劃 應(yīng)規(guī)劃信息系統(tǒng)設(shè)備損害或計(jì)算機(jī)當(dāng)機(jī)時(shí)，可維持機(jī)關(guān)業(yè)務(wù)繼續(xù)正常作業(yè)的替代性預(yù)備作業(yè)方法。 每一系統(tǒng)的預(yù)備作業(yè)需求，應(yīng)在業(yè)務(wù)永續(xù)運(yùn)作的基礎(chǔ)上，由系統(tǒng)的擁有者加以界定；信息服務(wù)提供者亦應(yīng)為每一項(xiàng)系統(tǒng)研訂適當(dāng)?shù)念A(yù)備作業(yè)計(jì)劃。 應(yīng)定期測(cè)試預(yù)備作業(yè)的設(shè)備及程序。（四）作業(yè)變更之管理 信息設(shè)施及系統(tǒng)的變更，應(yīng)建立控制及管理機(jī)制，以免造