跳到主要內容區

資通安全政策

機密等級:一般
版 次:2.0
發行日期:2020.07.07

壹、資通安全政策
     為確保國立清華大學(以下簡稱本校)所屬之資訊資產的機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,並衡酌本校之業務需求,特制訂本政策如下,以供全體同仁共同遵循:
一、應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
二、保護本校資訊業務服務之安全,避免未經授權的存取、修改,確保其機密性、正確性與完整性。
三、應強固核心資通系統之韌性,建立資訊業務永續運作計畫,確保本校業務服務之持續運作。
四、本校各項資訊業務活動之執行須符合相關法令或法規要求。
五、針對辦理資通安全業務有功人員應進行獎勵。


貳、目標
    為評量資訊安全管理目標達成情形,本校特訂定資訊安全管理指標如下:
一、 量化型指標
(一)確保本校機房維運服務達全年上班時間98%(含)以上之可用性。
(二)確保滿足各關鍵業務系統達全年上班時間之服務可用率98%。
(三)關鍵業務系統因人為或作業疏失及未經授權的存取之資安事故,每年合計不得超過四件。
(四)為確保本校資訊安全措施或規範符合現行法令、法規之要求,每年至少需執行內部稽核乙次。
(五)應適當保護本校資訊資產之機密性與完整性,每年至少需進行資產盤點及風險評鑑作業乙次。
(六)為確保本校資訊業務服務得以持續運作,全部核心資通系統每二年辦理業務永續運作計畫演練乙次。
二、 質化型指標
(一) 定期審查本校資通安全維護計畫,以確保資訊安全工作之推展,應符合主管機關之要求,依員工職務及責任提供適當之資訊安全相關訓練。
(二) 應加強本校資訊機房設施之環境安全,採取適當之保護及權限控管機制。
(三) 應加強存取控制,防止未經授權之不當存取,以確保本校資訊資產受適當的保護。
(四)確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
(五) 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當之通報機制向上反應,並予以適當調查及處理。

參、資通安全政策及目標之核定程序
     資通安全政策由本校執行秘書核示或簽陳資通安全長核定。

肆、資通安全政策及目標之宣導
一、本校之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向校內所有人員進行宣導,並檢視執行成效。
二、本校應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效。

伍、資通安全政策及目標定期檢討程序
一、本政策應至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本校資通系統永續運作能力。
二、資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。