跳到主要內容區

:::

資通安全管理政策

友善列印 轉寄字級:

資通安全管理政策

1. 目的

1.1 作為本署資通安全管理制度(以下簡稱ISMS)相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織(ISO)所訂定之持續改善P.D.C.A.循環流程管理模式,整合及強化資通安全管理體系,建立制度化、文件化及系統化之管理機制,持續監督及審查管理績效,以落實資通安全管理及業務持續營運之理念,並達到以下之目標:

1.1.1 建立、落實及維護資通安全管理政策。
1.1.2 全面導入ISMS。
1.1.3 培訓資訊人力在資訊及通訊領域之安全專業能力。
1.1.4 強化資通安全環境及資通安全應變能力。
1.1.5 達成資通安全管理政策量測指標。

1.2 確保本署資訊資產之機密性、完整性、可用性及法遵性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本署利害關係人之權益。

2. 適用範圍

2.1 本政策適用範圍為本署暨所屬機關之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。

2.2 資通安全管理涵蓋組織、人員、實體及技術等4大領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本署帶來各種可能之風險及危害。

2.3 為了促使本署ISMS能貫徹執行、有效運作、監督管理、持續進行,維護本署重要資通系統的機密性、完整性、可用性及法遵性,特頒布資通安全管理政策。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資通安全管理政策,以確保本署所有職員之資料、資通系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資通訊持續營運的目標。

2.4 落實資通安全,強化服務品質
由全體同仁貫徹執行ISMS,所有資通訊作業相關措施,應確保業務資料之機密性、完整性、可用性及法遵性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核資通安全管理制度的工作,強化服務品質,提升服務水準。

2.5 加強資安訓練,確保持續營運
督導全體同仁落實資通安全管理工作,每年持續進行適當的資通安全教育訓練,建立「資通安全,人人有責」的觀念,促使同仁瞭解資通安全之重要性,促其遵守資通安全規定,藉此提高資通安全智能及緊急應變能力,降低資通安全風險,達持續營運之目標。

2.6 做好緊急應變,迅速災害復原
訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資通系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。

3. 資通安全管理目標

本署執行ISMS需達成之資通安全目標,應依據「ISMS-P-005資通安全目標管理程序書」之相關規定辦理。

4. 適用範圍

4.1 本署的管理階層負責建立及審查政策。

4.2 資通安全管理者透過適當的標準和程序以實施本政策。

4.3 所有人員與契約委外廠商均須依照程序以維護資通安全管理政策。

4.4 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。

4.5 任何蓄意違反資通安全的行為將受到相關規範或法律行動。

本署執行ISMS需達成之資通安全目標,應依據「ISMS-P-005資通安全目標管理程序書」之相關規定辦理。

5. 審查

5.1 本政策每年應至少評估檢討一次,以反映本署資通安全需求、政府法令法規、外在網路環境變化及資通安全技術等最新發展現況,以確保其對於維持營運和提供適當服務的能力。

5.2 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。必要時應告知相關單位及委外廠商,以利共同遵守。

6. 發布實施

本政策經資通安全長核准,於公告日施行,本署及所屬機關之全體同仁及與本署連線作業之有關機關(構)、委外廠商均須遵照辦理,修正時亦同。

回上一頁