資訊安全政策
國立臺灣海洋大學資訊安全政策
中華民國108年6月1日圖書暨資訊處制定施行
第1條 | 目的: 為確保國立臺灣海洋大學-圖書暨資訊處(以下簡稱本處)資訊業務之辦公環境、資訊機房、教學務系統及網路基礎架構維運所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本處之權益。 |
|
第2條 | 適用範圍: 資訊安全管理涵蓋14項管理事項。避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本處帶來各種可能之風險及危害。管理事項如下: |
|
一、 | 資訊安全政策制定及評估。 | |
二、 | 組織的資訊安全職責與分工。 | |
三、 | 人力資源安全與教育訓練。 | |
四、 | 資訊資產管理。 | |
五、 | 存取控制與管理。 | |
六、 | 密碼管理。 | |
七、 | 實體與環境安全。 | |
八、 | 作業安全管理。 | |
九、 | 網路安全管理。 | |
十、 | 資訊系統取得、開發及維護。 | |
十一、 | 供應商安全管理。 | |
十二、 | 資訊安全事故管理。 | |
十三、 | 營運持續管理。 | |
十四、 | 遵循性(適法性)。 | |
第3條 | 依據 | |
一、 | 3.1ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements) | |
二、 | ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security management) | |
三、 | 資通安全管理法及其子法。 | |
四、 | 行政院及所屬各機關資訊安全管理規範。 | |
五、 | 國家資通訊安全發展方案(106年至109年)。 | |
第4條 | 政策: 為了促使本處各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護本處重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本處之權益,並期許全體同仁均能了解、實施與維持,達到本處營運的目標。 |
|
一、 | 強化資安訓練,提升資安認知: 督導員工落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全訓練,以提高資訊安全意識。員工如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。 |
|
二、 | 落實資訊安全,確保持續營運: 由本處全體人員貫徹執行資訊安全管理制度,以保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核ISMS制度的工作,確保營運持續,達到永續經營的目的。 |
|
第5條 | 資訊安全目標: 本處執行資訊安全管理制度需達成之資訊安全目標,詳如「I-2-02管理系統目標作業程序書」之相關規定。 |
|
第6條 | 資訊安全政策內容 | |
一、 | 本處各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。 | |
二、 | 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。 | |
三、 | 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。 | |
四、 | 建立主機及網路使用之管理機制,以統籌分配、運用資源。 | |
五、 | 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。 | |
六、 | 建立資訊機房實體及環境安全防護措施,並定期施以相關保養。 | |
七、 | 明確規範網路系統之使用權限,防止未經授權之存取動作。 | |
八、 | 訂定資訊安全管理系統內部稽核計畫,定期檢視本處推行資訊安全管理系統範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。 | |
九、 | 訂定營運持續管理規定並實際演練,確保本處業務持續運作。 | |
十、 | 本處所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。 | |
十一、 | 資訊安全管理系統文件應有明確之管理規範。 | |
第7條 | 責任 | |
一、 | 本校的管理階層建立及審查此政策。 | |
二、 | 資訊安全管理者透過適當的標準和程序以實施此政策。 | |
三、 | 所有人員與外部合約供應商,均須遵守資訊安全管理制度(ISMS)所要求之各項程序以維護本政策各項規範。 | |
四、 | 所有人員有責任報告安全事件,和任何已鑑別出的弱點。 | |
五、 | 所有人員與外部合約供應商,若蓄意違反本處資訊安全規範及法令法規之行為,都將受到相關懲處或負法律之刑責。 | |
第8條 | 審查 | |
一、 | 本政策應至少每年評估一次,以反應政府法令、技術及業務等最新發展現況,以確保它對於維持營運和提供適當服務的能力。 | |
二、 | 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。 | |
第9條 | 實施: 本政策經資訊安全管理代表核准後,於公告日施行,並以書面、電子或其他適當之方式通知本處人員及與本處連線作業之有關機關(構)、廠商。修正時亦同。 |