壹、目的
本所為強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,爰依據「行政院及所屬各機關資訊安全管理規範」、「行政院及所屬各機關資訊安全管理要點」、「ISO/CNS 27001:2013資訊技術-安全技術-資訊安全管理系統-要求事項」及「個人資料保護法」之相關規定,特訂定本政策,以茲各單位及全體人員遵循。
貳、目標
- 推動各單位強化資訊安全管理,建立「資訊安全,人人有責」之觀念,降低資通安全事件發生之機率及管理資通安全事件造成之影響至可接受的程度,以確保本所業務正常運作及保障民眾權益。
- 本所ISMS目標如下:
- 符合資安驗證標準與國家法規法令要求。
- 確保本所提供之網路服務,於正常上班時間內因意外或操作錯誤造成無法使用持續達4小時以上之次數,每年不得高於3次。
參、原則
- 本所將配合上級主管機關及民眾等內外部關注方之需求,適時回應並持續改善本所所提供之相關資訊服務。
- 確保資訊資產的機密性、完整性及可用性,防止敏感性資料與民眾個人資料外洩與遺失。
- 各項資訊安全防護及管理規定,應符合政府資訊安全相關政策、規定及法令要求。
- 制定、演練、稽核及維護本所業務及資訊持續運作計畫。
- 違反本政策與資訊安全相關規範,依相關法規或本所懲戒規定辦理。
- 資訊資產(包括軟體、硬體、網路通訊設施及資料庫等)應予適當保護,採行合宜之備援回復措施及作業,防止未經授權或因作業疏忽對資產所造成之損害,並定期演練前項備援回復作業。
- 所有資訊安全事件或可疑之安全弱點,應即時通報資安長主任秘書反映,並予以適當調查及處理。
- 本政策應每年定期評估檢討,以反映政府法令、技術發展及業務需求等,以落實資訊安全作業。
- 本政策須經本所資訊安全管理委員會審議通過,奉鎮長核定後實施,修正時亦同。
肆、適用範圍
本政策適用於本所所有單位及人員(含臨時人員、替代役、各連線使用單位、廠商維護人員)及資訊資產。
伍、實施方式
- 本所各單位主管對本政策及相關規範應負督導執行之職責。
- 本所員工應充分了解本政策及相關規範,並克盡保護本所資訊安全之責。
- 接觸本所業務資料之外機關人員、委外服務提供廠商人員及訪客,亦應配合本所訂定之資訊安全相關要求,並適當保護本所資訊資產之安全性。
- 往來廠商及民眾,由本所提供必要資訊安全技術之協助。
- 本政策經核定後於本所對外網站公告實施,修正時亦同。