資訊安全政策 Information Security Policy
資訊安全政策 Information Security Policy
1. 為強化資訊安全管理,建立安全及可信賴之電子化環境,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本政策。
2. 本政策係依公司業務需求訂定,並以書面、電子或其他方式告知所屬員工及提供資訊服務之廠商共同遵行。
3. 由資訊單位負責統籌以下資訊安全管理等事項之協調及推動
3.1 資訊安全政策、計畫及技術規範之研議、建置及評估等事項。
3.2 資料及資訊系統之安全需求研議、管理及保護等事項。
3.3 資訊機密維護及安全稽核等事項。
4. 人員管理及資訊安全教育訓練
4.1對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
4.2 各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
4.3 針對管理、業務及資訊等不同工作類別之需求,不定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
5. 電腦系統安全管理
5.1 辦理資訊業務委外作業,應於事前研議資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
5.2 對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
5.3 依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
5.4 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
6. 網路安全管理
6.1 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
6.2 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
6.3 訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
7. 系統存取控制
7.1 建立系統使用者權限管理制度,加強使用者通行密碼管理。
7.2 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
7.3 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
8. 應用系統開發及維護安全管理
8.1 自行或委外開發系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
8.2 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發 短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
8.3 委託廠商建置及維護重要之軟硬體設施,應在本單位相關人員監督及陪同下始得為之。
9. 業務永續運作計畫之規劃與管理
9.1訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
9.2建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向資訊單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
10. 資訊安全稽核
10.1 應就本公司業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
10.2 為使資訊安全政策能落實,應定期或不定期進行資訊安全內部及外部稽核作業。
11. 本政策自發布日施行
2. 本政策係依公司業務需求訂定,並以書面、電子或其他方式告知所屬員工及提供資訊服務之廠商共同遵行。
3. 由資訊單位負責統籌以下資訊安全管理等事項之協調及推動
3.1 資訊安全政策、計畫及技術規範之研議、建置及評估等事項。
3.2 資料及資訊系統之安全需求研議、管理及保護等事項。
3.3 資訊機密維護及安全稽核等事項。
4. 人員管理及資訊安全教育訓練
4.1對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
4.2 各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
4.3 針對管理、業務及資訊等不同工作類別之需求,不定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
5. 電腦系統安全管理
5.1 辦理資訊業務委外作業,應於事前研議資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
5.2 對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
5.3 依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
5.4 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
6. 網路安全管理
6.1 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
6.2 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
6.3 訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
7. 系統存取控制
7.1 建立系統使用者權限管理制度,加強使用者通行密碼管理。
7.2 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
7.3 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
8. 應用系統開發及維護安全管理
8.1 自行或委外開發系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
8.2 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發 短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
8.3 委託廠商建置及維護重要之軟硬體設施,應在本單位相關人員監督及陪同下始得為之。
9. 業務永續運作計畫之規劃與管理
9.1訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
9.2建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向資訊單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
10. 資訊安全稽核
10.1 應就本公司業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
10.2 為使資訊安全政策能落實,應定期或不定期進行資訊安全內部及外部稽核作業。
11. 本政策自發布日施行