壹、文件目的
本文件在律定交通部高速公路局暨所屬機關(以下簡稱本局)資訊安全管理制度(Information Security Management System)及隱私資訊管理制度 (Privacy Information Management System)之政策及管理目標要求 (制度整併後統一簡稱ISMS),做為本局資安暨個資活動之作業準則,以確保管理制度作業之實施,符合資通安全管理法、個人資料保護法、資訊安全相關國際標準及本局之內部規範要求。
貳、適用範圍
本局全體員工(含正職、借調及約聘僱人員)、委外服務廠商(含派駐人員)與訪客等。
參、政策與目標
一、資通安全政策
「提升資通服務品質、保障個人隱私及其安全性、確保資訊資產之機密性、完整性及可用性」。
二、資通安全政策要求
本局應成立跨部門之資通安全組織,負責協調、規劃、稽核及推動等資通安全管理事項。資通安全組織召集人應確保建立符合本局策略及願景之資通安全政策和目標。
三、資通安全管理目標
1. 資通安全是本局達成法定任務的要素之一。本局需維護高度之資通安全等級,以確保資訊資產的機密性、完整性、可用性。
2. 維護本局作業環境資通安全之一致性,並兼顧資通安全與資訊分享。
3. 各項資通安全管理規定,須符合政府資通安全相關法令、規定與政策要求。
4. 所有資通作業相關措施,須確保本局資通之安全,防止敏感性與機密性資料外洩或遺失。
5. 規劃並提供個人資料檔案適當之安全措施,以確保本局得以盡良善管理之義務。
6. 適當保護資訊資產(含軟體、硬體、網路通訊設施及資料庫等),採行合宜之備援回復設施及作業,防止未經授權或因作業疏忽對資訊資產所造成之損害,並定期演練前項備援回復作業。
7. 定期實施資通安全及個人資料保護教育訓練,加強資通安全政策宣導。
8. 本局辦理資通系統或服務之專案,從規劃階段起,應將資通安全及個人資料隱私衝擊納入考量並執行適當之管理措施,以確保相關資訊受到適當保護。
四、資通安全管理指標
本局將依業務性質,從機密性、完整性、可用性、隱私性及合法性等方面考量,經管理審查會議審議,制訂資通安全管理有效性量測表,利用量化指標之管理落實本政策。
五、ISMS制訂與實施
本局資通安全組織應依據政策與目標之要求,制訂與維護 ISMS、推動與管理ISMS之實施、監控與評估ISMS實施績效、改善ISMS。
資通安全組織應根據ISO 27001標準要求,每年審視與修訂資通安全控制措施之適用性聲明,陳請機關首長核定後實施,並提管理審查委員會議備查。
肆、責任
一、本局應成立資通安全組織,統籌管理制度相關事項之推動。
二、管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
三、本局全體員工(含正職、借調及約聘僱人員)、委外服務廠商(含派駐人員)與訪客等皆應遵守本政策。
四、本局全體員工及委外服務廠商均有責任透過適當通報機制,通報資通安全事件或弱點。
五、任何危及資通安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本局之相關規定進行議處。
六、本局委外廠商及人員應簽署保密協議書,並遵守本政策以及相關程序之規定,未經授權不得使用本局之各類資訊資產及個人資料,但委外事務與資通安全無關者,不在此限。
伍、實施與修正
一、本政策由本局資通安全組織定期或因應組織、業務、法規或環境等因素之變迭,予以適當修訂,陳請機關首長核定後實施,並提管理審查會議備查,以確保本政策持續之合宜性、適切性及有效性。
二、本政策透過公告程序,使本局同仁及相關人員瞭解資通安全政策之相關規定。
陸、資通安全政策之例外管理
針對特定作業控制之需要,惟基於法律遵循、技術能力與成本效益之考量,須例外管理者,經依分層負責之申請與核准程序,得豁免於資通安全政策外,以保持資通安全管理機制之彈性與完整性。