ISMS資訊安全政策
機密等級: 一般 |
編 號:IS-01-001 |
版本編號:1.0 |
修訂日期:103.12.10 |
「資訊安全管理系統」資訊安全政策
一、目的
1.1 國立臺東專科學校(以下簡稱本校)為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以
提供本校之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅
,特定此政策規範。
二、適用範圍
2.1 本校各行政單位
2.2 資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、
破壞等情事發生,對本校帶來各種可能之風險及危害。管理事項如下:
(1). 資訊安全政策訂定與評估。
(2). 資訊安全組織。
(3). 人力資源安全。
(4). 資訊資產管理。
(5). 存取控制管理。
(6). 密碼學管理。
(7). 實體與環境安全管理。
(8). 操作安全管理。
(9). 通訊安全管理。
(10). 資訊系統獲得、開發與維護維護管理。
(11). 供應商關係管理。
(12). 資訊安全事故管理。
(13). 資訊安全營運持續管理。
(14). 法規與施行單位政策之符合性。本校之內部人員、委外服務廠訪客皆應遵守本政策。
三、定義
3.1 資訊資產:係指為維持本校資訊業務正常運作之硬體、軟體、服務、文件及人員。
3.2 營運持續運作之資訊環境:係指為維持本校各項業務正常運作所需之電腦作業環境。
四、資訊安全政策
4.1 強化人員認知、避免資料外洩。
4.2 落實日常維運、確保服務有用。
五、目標
5.1 維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目
標:
(1). 保護本校業務活動資訊,避免未經授權的存取。
(2). 保護本校業務活動資訊,避免未經授權的修改,確保其正確完整。
(3). 建立跨部門之資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本校具備可供業務
持續運作之資訊環境。
(4). 辦理資訊安全教育訓練,推廣教職員資訊安全之意識與強化其對相關責任之認知。
(5). 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
(6). 實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
(7). 本校之業務活動執行須符合相關法令或法規之要求。
六、責任
6.1 本校的管理階層建立及審查此政策。
6.2 資訊安全委員會透過適當的標準和程序以實施此政策。
6.3 所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。
6.4 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
6.5 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行懲處。
七、審查
7.1 本政策應至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本校永續運作及資訊安全
實務作業能力。
八、實施
8.1 資訊安全政策配合管理階層審查會議進行資訊安全政策審核。
8.2 本政策經「資訊安全暨個人資料保護推動委員會召集人」進行審核後公告實施,修訂時亦同。