您的瀏覽器並不支援此一Script置換圖片的功能,但這並不影響你瀏覽本網站。若您希望有更好的視覺效果,建議您改用IE5.5以上版本之瀏覽器觀看。
:::
網站導覽 sitemap.xml 雙語詞彙對照表 RSS
政府資訊公開
* 中文版 * ENGLISH * 日本語 * 兒童版 * 行動版
中部科學工業園區
園區公告 認識園區 便民服務 投資引進 勞資環安 工商服務 營建服務 建管服務
出版品 園區廠商 廉政園地 相關法規 相關網站 下載專區 連絡信箱 實驗中學 高等研究園區
:::
資安政策
::: 資訊安全政策 瀏覽位置:首頁資訊安全政策
 
 
 
前言
  隨著電腦資訊化作業的普及,許多重要的資料都儲存在電腦中或利用電腦通訊網路來傳遞。在如此依賴電腦和網路的情形下,若缺乏完全的資訊安全控管,可能導致儲存在資訊系統的資料或傳輸中的訊息被竊取或更改,造成重大而無法彌補的損失,為確保中部科學工業園區管理局(以下簡稱本局)降低資訊安全風險,維護機敏與完整資訊,進而提升整體資訊服務品質,有關資料、資訊系統、設備及網路之安全,並配合行政院推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,以確保民眾權益。
   
目的
  為確保本局資訊業務之永續運作,建立資料處理、傳送及儲存之安全環境,本局依據行政院於八十八年九月十五日核定「行政院所屬各機關資訊安全管理要點」、國家機密保護法、個人資料保護法及施行細則、資訊機密維護準則及相關規定與法規,擬定本局之資訊安全管理規範,作為本局人員遵循依據,擬定本局資訊安全政策(以下簡稱本政策)。

本政策,旨在闡述本局管理階層對資訊安全管理之要求與執行方向,並展現管理階層對資訊安全管理之支持與承諾,期能達到建立資訊安全體系、檢驗安全應變能力及健全資訊發展環境等三大目標。本政策為本局各項業務及人員在資訊安全相關作業之最高指導原則。

   
資訊安全適用範圍
 

本局所有正式職工、約聘人員、工讀生、臨時人力、各單位之委外駐地人員及本局資訊系統開發與維護委外駐地人員。本局為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等,由資訊單位負責辦理,並參照「行政院所屬各機關資訊安全管理要點」,每年評估一次,以反映政府法令、技術及業務等最新發展狀況,確保資訊安全實務作業之有效性。為落實資訊安全管理,本局相關的資訊安全管理,以書面或電子方式告知本局員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。

資訊安全之範圍包括

(1)管理制度
(2)作業流程
(3)人員
(4)軟體
(5)應用系統
(6)電腦作業系統
(7)硬體
(8)通訊設備
(9)資料、文件、媒體的儲存
(10)實體設施等。

由於本局資訊單位為提供整體資訊服務之核心,故首選為「資訊安全管理制度」 (ISMS – Information Security Management System)之驗證單位,並定義驗證範圍為「通關e網通系統及機房安全管理」。未來將逐步推廣至本局其他資訊服務及資產。

資訊安全管理政策
   本局資訊安全管理政策為:保護資訊資產之機密性、完整性與可用性,進而提供安全、穩定及高效率之整體資訊服務。

(一) 政策聲明 本局資訊安全聲明為:「機密不外流、資安事件少、服務不中斷」。

 (二) 資訊安全之定義 本局資訊安全管理目標為保護資訊資產之機密性、完整性與可用性,簡稱 CIA:

 1、機密性(Confidentiality):適當保護資訊資產,讓資訊資 產均為合法使用。
2、完整性(Integrity):維持資訊資產內容的正確與完整。
3、可用性(Availability):確保資訊資產能隨時提供使用。

(三) 訂定安全目標 以CIA為基準,訂定相關安全目標。爲有效量測資安目標是否達成,每年須於資訊安全委員會中審核年度資安之具體量化管理指標「ISMS-03-018資訊安全管控有效性管理規範」附件有效性量測標準。


1、機密資料外洩事件全年不得超過1件。
2、不因設備或系統異常而影響通關e網通系統業務超過3件 (含)以上。
3、每年電腦機房維運可用性達到99%(含)以上。
4、每年資訊安全事件通報為B級以上之發生次數低於3次(含)。

(四) 蒐集安全指標方法 在資訊安全管理系統中,建置蒐集安全指標之機制,以確認執 行成效。

(五) 提報資安事件彙總資料 每年向資訊安全委員會提報資安事件彙總資料,說明資訊安全管理系統實施狀況。

(六) 資訊安全管理之範圍 資訊安全管理之範圍共分:

1、資訊安全政策制定及評估。
2、資訊安全組織及權責。
3、人員管理及資訊安全教育訓練。
4、電腦系統之安全管理。
5、網路安全管理。
6、系統存取控制管理。
7、系統發展及維護安全管理。
8、資訊資產安全管理。
9、實體及環境安全管理。
10、業務永續運作計畫管理。
11、其他配合事項。

資訊安全組織
   本局資訊安全組織採任務編組,負責資訊安全管理之運作;本組織運作之涵蓋範圍,為驗證範圍。資訊安全組織中,資訊安全委員會為最高決策單位;資安稽核小組負責稽核資訊安全管理之運行。資訊安全推行小組為居間協調之重要橋樑,負責推動各項資訊安全管理作業,並執行管理階層之決策下設資訊安全處理小組,負責日常資訊安全管理事務工作。

 成立本局「資訊安全委員會」,由副局長及各組室主管人員組成,負責資訊安全管理事項之協調及推動;由「資訊安全委員會」指派各組室專員(含)以上人員(包含科長、技正),成立跨部門之「資訊安全推行小組」,統籌資訊安全政策;成立專責「資安稽核小組」,由政風及資訊單位組成,規劃年度內部稽核作業及執行相關稽核作業。前項各小組之成員及工作職掌詳如資訊安全組織架構圖及資訊安全組織工作職掌與權責說明。

(一) 資訊安全組織架構圖

資訊安全委員會架構圖

(二) 資訊安全組織工作職掌與權責

組 織

工作職掌與權責

資訊安全

委員會

1. 資訊安全政策之擬定、核轉及督導。
2. 資訊安全責任之分配及協調。
3. 資訊資產保護事項之監督。
4. 資訊安全事件之檢討及監督。
5. 檢討、審核並頒行資訊安全政策,至少每年一次。
6. 召開管理階層審查會議,了解資訊安全執行成效及相關資安議題,
    至少每年一次。
7. 審核內部稽核成果。

資訊安全

推動小組

1. 跨部門資訊安全事項權責分工之協調。
2. 應採用之資訊安全技術、方法及程序之協調研議。
3. 整體資訊安全措施之協調研議。
4. 資訊安全計畫之協調研議。
5. 其他重要資訊安全事項之協調研議。
6. 規劃、執行、稽核並改善資訊安全管理系統之運行。
7. 監督日常資訊安全事務運作並協助各小組執行資訊安全委員會之決
    議事項。
8. 審核執行風險管理機制,包含風險評鑑與風險處理計畫,至少每年
    一次。
9. 協助稽核作業並報告稽核成果及相關建議事項予資訊安全委員會,
    至少每年一次。
10. 協助及督導資訊安全政策與規範之修訂作業。
11. 監督年度資訊安全教育訓練,並追蹤其成效與紀錄。
12. 監督彙整業務持續運作計畫及其演練紀錄。
資安稽核

小組

1. 規劃年度內部稽核作業,決定稽核範圍與方式。
2. 訂定相關稽核計畫及作業程序,執行相關稽核作業,至少每年一次。
資訊安全

處理小組

1. 資訊安全政策、計畫、措施及技術規範之研議、建置及評估等事項。
2. 執行風險管理機制,包含風險評鑑及風險處理計畫,至少每年一次。
3. 研發、協調、教導與協助安控機制與措施之執行。
4. 執行年度資訊安全教育訓練。
5. 製作並維護資訊安全相關政策文件。
6. 管理並控制資訊安全相關政策文件與版本。
7. 修訂資訊安全相關政策文件,至少每年一次。
8. 彙整業務持續運作計畫及其演練紀錄。
9. 執行資訊安全委員會決策之交辦事項或專案。
10. 於資訊安全管理系統之建置與執行過程中發現問題或疑惑時,可詢問
     相關領域之專家或合作廠商。
11. 規劃資訊安全事件處理程序。
12. 辦理資訊安全事件通報與紀錄管理。
13. 確定資訊安全事件影響範圍並作損害評估。
14. 查明資訊安全事件原因,並分析趨勢。
15. 蒐集陳報資訊安全政策中所訂定之量化管理指標。
16. 提供資訊安全建議予資訊安全代表。
17. 執行資訊安全相關監控工具並提供相關監控報表。
18. 執行資訊安全委員會決策之交辦事項或專案。
19. 規劃並執行年度資訊安全教育訓練,並追蹤其成效。
管理局同仁 1. 遵守本資訊安全政策與規範並確保所屬業務符合資訊安全規範,以維
    資訊安全。
2. 確保外部人員瞭解本局資訊安全政策與規範,並於契約中附加保密協議書。
3. 主動通報資訊安全事件。
4. 接受資訊安全教育訓練。
5. 應確實執行其職責範圍內之安全程序。

「資訊安全管理系統」運作機制之建置及維護
 
      依據ISO27001:2005資訊安全指導規範之「計畫—執行—檢查—行動」模式,發展、維護及持續改善文件化的資訊安全管理系統,本局資訊安全管理政策為:保護資訊資產之機密性、完整性與可用性,進而提供安全、穩定及高效率之整體資訊服務。
  • 建置資訊安全管理系統
    1、定義實施範圍,詳見本政策之「3、資訊安全適用範圍」。
    2、定義資訊安全政策,並經「資訊安全委員會」核准頒行。
    3、定義系統化風險評鑑方法,詳見「資訊資產風險評鑑管理規 範」。
    4、執行風險評鑑與管理,包括風險鑑別、風險評鑑及評鑑結果因 應措施擬定,以及
         選擇管控目標與管控措施。
    5、準備適用性聲明書,內容包括ISO/IEC 27001之附錄A中,適 用的管控措施,適
         用及不適用之理由說明,詳見「適用性聲明書」。
  • 實施資訊安全管理系統
           根據執行風險評鑑,擬定風險處理計畫,實施安控措施,撰寫相關文件,並安排人員負責維運。對於執行資訊安全工作之人員,需依組織之期望與其本身能力,施予適當教育訓練;對驗證範圍內之同仁,提供適當之資訊安全認知課程,以提昇整體資訊安全水準。
  • 監控並審查資訊安全管理系統
           監控並審查安控機制,以確保資訊安全管理系統運行時能達到預期之目標。包括定期執行風險評鑑、監督系統運行狀況、檢查合法軟體使用情形、檢查文件與紀錄管制作業、內部稽核、管理階層審查及不定期處理資訊安全事件等。
  • 維持及改進資訊安全管理系統

  •       對依前述監控及審查之安控機制所發覺之待改進事項,應採取適切之矯正與預防措施,以持續改進資訊安全管理系統。
 
 
更新日期:2014/9/22
 
topback
 
 
A+我的E政府 建議瀏覽解析度: 1024*768       

[ 資安政策 ] [ 網站資料開放宣告 ] [ 隱私權宣告 ]
更新日期: 2017/9/26
地址40763臺中市西屯區中科路2號 電話04-2565-8588 傳真04-2565-8288
每週一至週五上班時間:08:00-18:00 核心上班:08:30-17:30 
      午休時間:12:00-13:30 瀏覽人數:11216239