資通安全政策
機密等級:一般
版 次:2.1
修訂日期:2023.10.01
壹、資通安全政策
為使本校業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
一、應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
二、應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
三、應強固核心資通系統之韌性,確保機關業務持續營運。
四、應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本校同仁之資通安全意識,本校同仁亦應確實參與訓練。
五、針對辦理資通安全業務有功人員應進行獎勵。
貳、目標
為評量資訊安全管理目標達成情形,本校特訂定資訊安全管理指標如下:
一、 量化型指標
(一)確保本校計通中心機房維運服務達全年上班時間(或調整為法定工作日)98%(含)以上之可用性。
(二)確保滿足各核心業務系統達全年上班時間(或調整為法定工作日)之服務可用率98%。
(三)核心業務系統因人為或作業疏失及未經授權的存取之資安事故,每年合計不得超過四件。
(四)為確保本校資訊安全措施或規範符合現行法令、法規之要求,每兩年至少需執行內部稽核乙次。
(五)應適當保護本校資訊資產之機密性與完整性,每年至少需進行資訊資產盤點及風險評鑑作業乙次。
(六)為確保本校資訊業務服務得以持續運作,全部核心資通系統每二年辦理業務永續運作計畫演練乙次。
二、 質化型指標
(一) 定期審查本校資通安全維護計畫,以確保資訊安全工作之推展。應符合主管機關之要求,依員工職務及責任提供適當之資訊安全相關訓練。
(二) 應加強本校資訊機房設施之環境安全,採取適當之保護及權限控管機制。
(三) 應加強存取控制,防止未經授權之不當存取,以確保本校資訊資產受適當的保護。
(四) 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
(五) 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當之通報機制向上反應,並予以適當調查及處理。
參、資通安全政策及目標之核定程序
由本校資通安全長核定資通安全政策及目標,各單位主管對於資通安全政策及相關作業規範之遵循,應負監督與執行之職責。
肆、資通安全政策及目標之宣導
一、本校之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向校內所有人員進行宣導,並檢視執行成效。
二、本校應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效。
伍、資通安全政策及目標定期檢討程序
一、本政策應至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本校資通系統永續運作之能力。
二、資通安全政策及目標應定期於資通安全與個資保護管理審查會議中檢討其適切性。