資訊安全政策宣告

資訊安全政策宣告


壹、 文件目的
本文件在律定本局資訊安全管理制度之資訊安全政策及管理目標要求,做為本局資訊安全管理制度(以下簡稱ISMS)活動之作業準則,以確保全管理制度作業之實施,符合本局之需要及與資訊安全相關國際標準之要求。

貳、 適用範圍
一、 管理制度
本文件係根據本局管理之需要,並參考ISO 27000系列(資訊安全管理)、ISO 31000系列(風險管理)、ISO 20000系列(資訊技術服務管理)及BS 10012(個人資料管理)等國際標準要求,以及中華民國政府相關國家標準、法規及行政規則所制定,以滿足ISO 27001:2013國際標準認證之要求。
二、 組織範圍
本文件適用於本局(含所屬機關)資訊安全管理制度之規劃、實作、管理與改善。

參、 政策與目標
一、 資訊安全政策要求
本局之資訊安全政策,包含高階管理政策和作業層級政策二個部分,各項政策說明如下:
(一) 高階管理政策
本局應成立跨部門之資訊安全組織,並由高階管理人員定期召開管理審查委員會議,審查本局資訊安全政策。
資訊安全組織召集人應確保資訊安全政策和目標被建立,且與本局策略方向相容。
本局之資訊安全之高階管理政策為:
「提升資訊服務品質、保障個人隱私、確保資訊資產之機密性、完整性及可用性」。
(二) 作業層級政策
1.  移動裝置管理政策
應管制行動裝置與媒體之使用,避免未經授權或缺乏適當管理之行動裝置與媒體,連接本局之資訊資產,對系統可用性、機密性和完整性造成傷害。
2.  遠距工作管理政策
應規範遠距工作環境、連線與電腦之要求,使本局同仁及委外廠商在遠距工作環境中,能夠依授權且遵守本局ISMS要求,使用本局資訊資產,完成指派工作。
3.  存取管制及登錄管控政策
應規範本局資訊資產的存取控制要求,包括使用者帳號、密碼、與存取權限之設定與管理,避免資訊資產發生非授權存取之資訊安全事件,並確保資訊資產的可用性。
4.  密碼管理政策
應規範關於資訊保護之密碼式控制措施的使用,以保護資訊之機密性、鑑別性及完整性。
5.  桌面淨空與螢幕淨空政策
應依據資訊之安全級別、法律與契約要求事項及相對應之風險採用桌面淨空與螢幕淨空政策。
6.  備份政策
應依據系統可用性要求,擬定相關備份週期及方式並定期測試所備份之資料,以確保其可用性。
7.  資訊傳送管理政策
應規範傳送方式、程序及控制措施,以保護經由使用所有形式通訊設施之資訊傳送。
8.  應用系統開發及維護政策
應擬定系統發展生命週期各階段作業要求規範,適切管理並符合ISMS之要求,確保系統發展符合本局資訊安全規定。
9.  紀錄保存政策
本局ISMS實施紀錄,應訂相關管理規範。ISMS文件修訂及實施紀錄應被適當保管及銷毀,並在需要的時候,能夠依授權取用相關紀錄文件或系統紀錄。
10.  營運持續政策
資訊化作業依業務執行之實際需求應訂定營運持續計畫,其規劃至少包含資通安全應變處理作業、事故通報處理作業及定期進行演練,務使重要系統、業務於災害發生時能於預定時間內恢復運作,以確保資訊化作業之可用性。
二、 資訊安全管理目標
本局資訊安全管理目標為:「在合於法規、標準與契約要求條件下,確保資訊資產的機密性、完整性與可用性,防止人為疏失、蓄意或自然災害等風險因素,致資訊資產遭不當或不法使用、洩漏、竄改及破壞,提供持續可用、安全及順暢之系統服務」。
為達成本局資訊安全管理目標,本局參考ISO 27001國際標準與中華民國政府機關所公布相關法規及行政規則要求,建立本局資訊安全管理制度,對本局資訊安全管理制度實施範圍內之重要資訊資產採取適當保護措施,以維持資訊資產的機密性、完整性與可用性,使各項業務能順利且安全的執行,提供用戶優質服務。
為確保資訊安全管理制度之實施,能夠達成營運之需要,本局資訊安全管理目標,依實行之需要,展開為作業流程目標及資訊安全管理作業目標二部分。
(一) 作業流程目標
各作業流程之目標,在描述與界定各作業流程,實作資訊安全管理制度的基本要求。
(二) 資訊安全管理作業目標
資訊安全組織應每年評估與建議本局資訊安全管理作業目標,提請管理委員會議審查,包括:
1.  業務(資訊)服務可用性目標。
2.  控制業務(資訊)服務,發生資料遭不當揭露事故之管理目標。
3.  資料被竄改或未經授權存取事故之管理目標。
4.  每月機房進出管制目標。
5.  每月備份作業之管理目標。
6.  帳號密碼設定管理目標。
7.  控制安全區域經媒體揭露之資訊安全事故之管理目標。
8.  營運持續維運計畫演練之管理目標。
9.  非計畫性之營運中斷時間之管理目標。
三、 資訊安全管理制度制訂與實施
本局資訊安全組織應依據政策與目標之要求,制訂與維護資訊安全管理制度、推動與管理資訊安全管理制度之實施、監控與評估資訊安全管理制度實施績效、改善資訊安全管理制度。
資訊安全組織應根據ISO 27001標準要求,每年審查與修訂資訊安全控制措施之適用性聲明,並提請管理委員會議審查。

肆、 責任
一、本局應成立資訊安全組織,統籌管理制度相關事項之推動。
二、管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
三、本局全體員工(含借調人員)、委外服務廠商(含派駐人員)與訪客等皆應遵守本政策。
四、本局全體員工及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
五、任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本局之相關規定進行議處。

伍、 實施與修正
一、本政策由本局資訊安全組織定期或因應組織、業務、法規或環境等因素之變迭,予以適當修訂,經管理委員會議審查通過,陳請機關首長核定後實施,或為爭取時效,逕行陳請機關首長核定後實施,以確保本政策持續之合宜性、適切性及有效性。
二、本政策透過公告程序,使本局同仁及相關人員瞭解資訊安全政策之相關規定。

 

上架日期    :107-02-12
資料維護單位  :資訊室
本頁最後更新日期:107-08-14