瀏覽人次: 13

資訊安全政策

目的

內政部國家公園署海洋國家公園管理處(以下簡稱本處)為強化資通安全管理,確保所屬資訊資產的機密性、完整性與可用性,及提高相關人員資通安全意識,以提供本處資訊服務持續運作之環境,並符合相關法規要求,特訂定本政策。

適用範圍

  • 本處所有單位。
  • 資通安全管理涵蓋14項管理事項:
    • 資通安全政策訂定與評估。
    • 資通安全組織。
    • 人力資源安全管理。
    • 資訊資產管理。
    • 存取控制安全管理。
    • 資訊加密管理。
    • 實體與環境安全管理。
    • 系統作業管理。
    • 通訊安全管理。
    • 資通系統獲取、開發與維護之安全管理。
    • 支援關係管理。
    • 資通安全事件之通報與應變管理。
    • 營運持續運作管理。
    • 相關法規與施行單位政策之符合性。

權責

  • 資通安全管理委員會召集人(資安長)建立及審核此政策。
  • 資通安全管理委員會透過適當的標準和程序實施此政策。

名詞定義

  • 資訊資產:係指為維持本處資訊業務正常運作之硬體、軟體、通訊、資料、服務、文件及人員。
  • 資通安全管營運持續運作之環境:係指為維持本處各項資訊業務正常運作所需之作業環境。

流程圖

無。

作業說明

  • 資通安全政策
    為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。
  • 資通安全目標
    • 本處同仁每年至少完成1次3小時資通安全教育訓練。
    • 每年應至少執行1次內部稽核,且前次內稽發現事項應於期限內矯正完成。
    • 知悉資安事件發生,能於規定的時間完成通報、應變及復原作業。≦1次/年(資安事件分級表請參閱附件)。
    • 執行資通安全風險評估機制,提升資通安全管理之有效性與即時性。 (風險評鑑次數≧1次/年)。
    • 重要伺服器及網路設備因資安事件導致服務停頓,每半年小於2次(含)以下,每次服務中斷時間不超過24小時。
    • 對全部核心資通系統訂定營運持續計畫,營運持續計畫內容至少包含人員職責應變、作業程序、資源調度機制及檢討改善措施等,並定期辦理業務持續運作演練≧1次/2年。
    • 非法存取資訊之事件,每年發生次數不得超過4件。
    • 權責人員每年實施外來文件一覽表查核次數至少1次以上。
  • 責任
    • 本處員工及與本處往來之外部單位、廠商及第三方人員等,皆需遵守本處資通安全相關制度及規範,如有違反者,必須自行承擔所有引發的風險及責任。
    • 所有人員於知悉任何危及資通安全之事件或風險時,皆需依程序進行通報。
    • 因故意或過失之行為,危害本處資訊安全者,將視情節輕重追究其民事、刑事及行政責任。
  • 審查
    • 定期:本政策應每年審查1次,以反映法規、技術及業務等最新發展現況。
    • 不定期:當本處面臨下列狀況時,應針對資通安全政策進行檢討與審查。
      • 本處營運策略發生重大變更。
      • 資通安全管理委員會召集人異動。
      • 發生重大資通安全事件。
  • 實施
    本政策發行、修訂與廢止需經資通安全管理委員會召集人(資安長)進行審核後以適當方式公告實施。