資訊安全政策
核定日期:民國111年06月23日
1.目的
為強化資訊安全管理,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定『(ISMS-1-01)資訊安全政策』(以下簡稱本政策),本政策未規定事項依政府其他資訊安全法規辦理,以達成資訊之機密性、完整性、可用性與適法性。
2.名詞解釋
本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。
2.1.機密性(Confidentiality)指確保只有經過授權的人才能存取資訊資產。
2.2.完整性(Integrity)指確保資訊資產其處理方法的準確性及完整(Completeness)。
2.3.可用性(Availability)指確保授權的使用者在需要時,可以使用資訊資產。
2.4.適法性(Legality)符合本國相關法令規範。
3.適用範圍
本政策適用於各項資訊資產及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。
4.依據
本政策係依據行政院頒布『資通安全管理法』、『資通安全管理法施行細則』、『個人資料保護法』、『個人資料保護法施行細則』等相關法令、計畫,及ISO/CNS 27001資訊安全管理系統標準,考量業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。
5.組織
為統籌資訊安全管理等事項之規劃、執行、稽核及矯正活動,應建立資訊安全推動組織,並依『(ISMS-2-01)組織及權責程序書』辦理。
6.實施目標與內容
為使本所發展與營運規劃、民間參與相關業務及本所各項公共設施規劃、建設、維護及管理並增進本所營運效益,相關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效(量測指標),實施程序參見『(ISMS-2-02)資訊安全實施程序書』。
6.1.各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、著作權法、個人資料保護法等)之規定。
6.2.負責資訊安全制度之建立及推動事宜。
6.3.定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
6.4.建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
6.5.建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
6.6.建立電腦機房實體及環境安全防護措施,並定期實施相關保養。
6.7.明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
6.8.訂定資訊安全內部稽核計畫,定期執行內部稽核活動。
6.9.訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
6.10.所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。
7.實施與修正
本政策每年至少審查1次並留下審查紀錄,並依資訊安全管理制度PDCA精神,持續改進其有效性及適切性,以符法令法規、技術及營運要求,本政策奉資通安全長核定後公告實施,修正時亦同。