一、 目的
為維護本院安全及可信賴的資訊運作環境,維持業務持續運作,降低資訊作業風險,保障資訊服務使用者之權益,建立資訊安全管理系統(Information Security Management System, ISMS)並符合資訊安全管理標準及相關法規之要求,特規範本政策為最高指導方針,達成資訊安全管理目標。
二、 範圍
本系資訊安全管理範圍包括本系所屬各單位資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施。
三、 作業要點
(一) 資安政策宣言
1. 確保個人隱私權。
2. 確保內部管理系統與相關應用系統正確執行。
3. 資料處理符合業務單位之需求,系統管控完善。
4. 確保本系電腦主機、網站及網路安全。
5. 防範本系業務運作遭受資訊安全事件之影響,確保營運持續。
(二) 資訊安全目標
保護本系資訊及相關資產之機密性、完整性與可用性,其目標為:
1. 機密性(Confidentiality):確保經授權的人才能存取資訊。
2. 完整性(Integrity):確保資訊內容與處理方法為正確與一致性。
3. 可用性(Availability):確保經授權的使用者在需要時可取得資訊與使用設備。
(三) 資訊安全績效指標與量測
1. 應以機密性、完整性及可用性為基準,來達成相關績效指標。
2. 安全績效量化指標及量測之準則由資訊管理委員會依每年之施政目標進行檢討與修正。
(四) 員工責任
1. 員工應遵守法規與系內各項資訊安全規定。
2. 員工有參加本系舉辦各類資訊安全宣導教育之義務。
3. 員工發現資訊安全事件時,應儘速通報並協助處理資訊安全事件。
(五) 了解利害相關團體之需求與期望
1. 資訊安全管理系統之利害相關團體
2. 與上述利害相關團體相關之資訊安全要求
(六) 決定資訊安全管理系統之範圍
1. 資訊安全管理審查會議需決定資訊安全管理系統之範圍,包含其運作限制與其運作範圍。
2. 當決議資訊安全管理系統之範圍時,應考量:
(1). 確認內外部議題對資訊安全系統之影響。
(2). 了解利害相關團體之需求與期望之要求。
(3). 組織內之作業活動與其他組織提供之作業活動。
(七) 審查與評估
1. 本政策應至少每年進行檢討一次。
2. 本政策依據本系資訊安全需求及外在環境變化進行必要之修正。
3. 本政策自奉准後公佈實施,修正時亦同。
資料維護人:本系 總OO者
更新日期:2021-07-10