資訊安全政策

目的

適用範圍

• 本處所有單位。
• 資通安全管理涵蓋14項管理事項：
  • 資通安全政策訂定與評估。
  • 資通安全組織。
  • 人力資源安全管理。
  • 資訊資產管理。
  • 存取控制安全管理。
  • 資訊加密管理。
  • 實體與環境安全管理。
  • 系統作業管理。
  • 通訊安全管理。
  • 資通系統獲取、開發與維護之安全管理。
  • 支援關係管理。
  • 資通安全事件之通報與應變管理。
  • 營運持續運作管理。
  • 相關法規與施行單位政策之符合性。

權責

• 資通安全管理委員會召集人(資安長)建立及審核此政策。
• 資通安全管理委員會透過適當的標準和程序實施此政策。

名詞定義

• 資訊資產：係指為維持本處資訊業務正常運作之硬體、軟體、通訊、資料、服務、文件及人員。
• 資通安全管營運持續運作之環境：係指為維持本處各項資訊業務正常運作所需之作業環境。

流程圖

作業說明

• 資通安全政策
  為使本處業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability）。
• 資通安全目標
  • 本處同仁每年至少完成1次3小時資通安全教育訓練。
  • 每年應至少執行1次內部稽核，且前次內稽發現事項應於期限內矯正完成。
  • 知悉資安事件發生，能於規定的時間完成通報、應變及復原作業。≦1次/年(資安事件分級表請參閱附件)。
  • 執行資通安全風險評估機制，提升資通安全管理之有效性與即時性。 (風險評鑑次數≧1次/年)。
  • 重要伺服器及網路設備因資安事件導致服務停頓，每半年小於2次(含)以下，每次服務中斷時間不超過24小時。
  • 對全部核心資通系統訂定營運持續計畫，營運持續計畫內容至少包含人員職責應變、作業程序、資源調度機制及檢討改善措施等，並定期辦理業務持續運作演練≧1次/2年。
  • 非法存取資訊之事件，每年發生次數不得超過4件。
  • 權責人員每年實施外來文件一覽表查核次數至少1次以上。
• 責任
  • 本處員工及與本處往來之外部單位、廠商及第三方人員等，皆需遵守本處資通安全相關制度及規範，如有違反者，必須自行承擔所有引發的風險及責任。
  • 所有人員於知悉任何危及資通安全之事件或風險時，皆需依程序進行通報。
  • 因故意或過失之行為，危害本處資訊安全者，將視情節輕重追究其民事、刑事及行政責任。
• 審查
  • 定期：本政策應每年審查1次，以反映法規、技術及業務等最新發展現況。
  • 不定期：當本處面臨下列狀況時，應針對資通安全政策進行檢討與審查。
    • 本處營運策略發生重大變更。
    • 資通安全管理委員會召集人異動。
    • 發生重大資通安全事件。
• 實施
  本政策發行、修訂與廢止需經資通安全管理委員會召集人(資安長)進行審核後以適當方式公告實施。