字級大小
一、前言
隨著電腦資訊化作業的普及,許多重要的資料都儲存在電腦中或利用電腦通訊網路來傳遞。在如此依賴電腦和網路的情形下,若缺乏完全的資通安全控管,可能導致儲存在資通系統的資料或傳輸中的訊息被竊取或更改,造成重大而無法彌補的損失,為確保國家科學及技術委員會中部科學園區管理局(以下簡稱本局)降低資通安全風險,維護機敏與完整資訊,進而提升整體資訊服務品質,有關資料、資通系統、設備及網路之安全,並配合行政院推動各機關強化資通安全管理,建立安全及可信賴之電子化政府,以確保民眾權益。
二、目的
本局為強化資通安全管理,建立安全及可信賴之電子化政府,確保資料、資通系統與設備及網路安全,保障民眾權益,特訂定本政策。
三、範圍
(一) 資通安全管理制度實施範圍為本局各業務流程衍生之資通安全事項。
(二) 本政策適用於本局(含正式、約聘僱人員、技工、工友、委外廠商人員)、接觸本局業務之相關機關(構)與廠商、對本局提供服務之廠商及第三方人員。
四、權責
本局為統籌資通安全管理等事項之協調及推動,應成立資通與個資安全處理小組,負責資通安全及危機應變相關事宜,其幕僚作業由資訊處駐點人員擔任。
(一) 本局暨所屬共通資通安全政策、要點、計畫及技術規範之研議、建置、評估及教育訓練等事項,由資通與個資安全處理小組辦理。
(二) 本局之資料及資通系統之安全需求研議、使用管理及保護,由業務單位及資通與個資安全處理小組辦理。
(三) 資訊機密維護事項,由政風單位會同資通與個資安全處理小組及相關單位辦理。
(四) 本局實施定期或不定期之資通安全稽核,由資通安全稽核小組辦理,必要時得邀請政風單位派員督導。
五、定義
(一) 資通安全(Information Security):
確保資訊之機密性、完整性及可用性,此外亦包含鑑別性、可歸責性、不可否認性及可靠度等性質,以保障民眾各項權益,並提升民眾對資訊服務之信心。
(二) 資產(asset)
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務及建築與保護設施等皆屬之。
六、作業規範
本局資通安全管理政策為:保護資訊資產之機密性、完整性與可用性,進而提供安全、穩定及高效率之整體資訊服務。
(一) 政策聲明
本局資通安全聲明為:「機密不外流、資安事件少、服務不中斷」。
(二) 目標
1. 確保「本局機房」之實體及環境安全,以減少資訊安全事件造成服務中斷次數帶來的影響。
2. 確保「本局機房」之網路設備安全,以減少資訊安全事件或錯誤造成網路設備中斷服務次數所帶來的影響。
3. 確保「本局機房」之網路基礎服務安全,減少因意外、錯誤造成服務中斷或機敏性資料外洩所帶來的影響。
4. 確保「本局核心系統」不因資訊安全事件造成敏感資料或個人資料外洩、破壞而無法使用。
(三) 蒐集安全指標方法
在資通安全管理系統中,建置蒐集安全指標之機制,以確認執行成效。
(四) 提報資安事件彙總資料
年向資通安全委員會提報資安事件彙總資料,說明資通安全管理系統實施狀況。
(五) 資通安全管理之範圍資通安全管理之範圍共分:
1. 資通安全政策制定及評估。
2. 資通安全組織及權責。
3. 人員管理及資通安全教育訓練。
4. 電腦系統之安全管理。
5. 網路安全管理。
6. 系統存取控制管理。
7. 系統發展及維護安全管理。
8. 資訊資產安全管理。
9. 實體及環境安全管理。
10. 業務永續運作計畫管理。
11. 其他配合事項。
(六) 本局資通安全組織採任務編組,負責資通安全管理之運作;本組織運作之涵蓋範圍,為驗證範圍。資通安全組織中,資通安全委員會為最高決策單位;資通安全稽核小組負責稽核資通安全管理之運行。資通與個資安全處理小組為居間協調之重要橋樑,負責推動各項資通安全管理作業,並執行管理階層之決策下設資通與個資安全處理小組,負責日常資通安全管理事務工作。
(七) 成立本局「資通與個資安全委員會暨管理審查會報」,由副局長及各組室主管人員組成,負責資通安全管理事項之協調及推動;由「資通與個資安全委員會暨管理審查會報」指派各組室專員(含)以上人員(包含科長、技正),由「資通與個資安全處理小組」,統籌資通安全政策、計畫、措施及技術規範之研議;成立專責「資通與個資安全稽核小組」,由政風及資訊單位組成,規劃年度內部稽核作業及執行相關稽核作業;成立專責「資通與個資安全法律遵循小組」,由企劃組負責規劃與執行資通及個安全法律作業。
1. 資通與個資安全委員會暨管理審查會報每年至少開會 1 次,會議審查之輸入應包括下列項目:
(1) 前次管審措施狀態。
(2) 資訊安全管理系統內外部議題的變更。
(3) 資訊安全績效回饋,包含下列趨勢:
a. 不符合事項與矯正措施。
b. 監視與量測結果。
c. 稽核結果。
d. 資訊安全目標符合度。
(4) 利害相關團體回饋。
(5) 風險評鑑結果與風險處理計畫狀態。
(6) 持續改善的機會。
會議審查之輸出應包括有關下列之任何決策與措施
(1) 資訊安全管理系統持續改善機會。
(2) 變更需求的決策。
(八) 審查
1. 本政策每年評估一次,得視需要作調整以因應法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。
2. 本政策經資通與個資安全委員會暨管理審查會報核准,於公告日施行,並以書面、電子或其他方式通知本政策適用人員,修正時亦同。