瀏覽人次: 32492

資訊安全政策

目的

作為本所資訊安全管理系統(以下簡稱ISMS)相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織(ISO)所訂定之持續改善P.D.C.A.循環流程管理模式,整合及強化資通安全管理體系,建立制度化、文件化及系統化之管理機制,持續監督及審查管理績效,以落實資通安全管理及業務持續營運之理念,並達到以下之目標:

  • 建立、落實及維護資通安全管理政策。
  • 確保本所所屬之資訊資產之機密性、完整性及可用性,使其免於遭受內、外部的蓄意或意外之威脅,以符合相關法令法規之要求。

適用範圍

資通安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本所帶來各種可能之風險及危害。管理事項如下:

  • 資通安全管理政策制定及評估。
  • 資通安全組織之職責與分工。
  • 人力資源安全。
  • 資訊資產管理。
  • 存取控制。
  • 密碼控制。
  • 實體與環境安全。
  • 作業安全。
  • 通訊安全。
  • 資訊系統獲取、開發及維護。
  • 供應商關係。
  • 資通安全事件管理。
  • 營運持續管理的資通安全層面。
  • 法規遵循性。
資通安全管理目標(follow資通安全維護計畫資通安全目標)
  • 確保本所保管資料之機密性、完整性與可用性,防止非法使用。
  • 確保本所提供資訊服務之完整性與可用性,提供全所員工便利和穩定的資訊服務。
  • 確保本所提供軟硬體資源之可用性,合法及正確地使用。
資通安全責任
  • 本所管理階層負責建立及審查政策。
  • 資通安全推行小組透過適當的標準和程序以實施本政策。
  • 所有人員與契約委外廠商均須依照程序以維護資通安全管理政策。
  • 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。
  • 任何蓄意違反資通安全的行為將受到相關規範或法律行動。
資通安全政策之審查及實施
  • 審查
    本政策每年應至少評估檢討一次,以反映本所資通安全需求、政府法令法規、外在網路環境變化及資通安全技術等最新發展現況,以確保其對於維持營運和提供適當服務的能力。
    本政策如遇重大改變時應立即審查,以確保其適當性與有效性。必要時應告知相關單位及委外廠商,以利共同遵守。
  • 本政策經資通安全長核准,於公告日施行,並以書面、電子或其他方式通知本所所屬職員及與本所連線作業之有關機關(構)、委外廠商,修正時亦同。