資安政策
透過「資訊安全政策」指導方針,提供中心內部資訊管理單位與資訊使用單位共通的資訊安全管理準則,以建立 「資訊安全,人人有責;全員參與,持續改善」的觀念
資訊安全政策內容:
- 中心各項資訊安全管理規定必須遵守政府相關法規,並將資訊安全保護措施應用於中心資訊相關領域,以達
成機密性 ( Confidentiality )、完整性 ( Integrity )、可用性 ( Availability ) 三項要求。
- 由資訊單位配合「資訊安全管理委員會」,建立及推動資訊安全措施,以落實並持續改善資訊安全制度。
- 全面落實資訊安全管理措施,包含:
(1) 資訊安全政策制定。
(2) 資訊安全組織建立。
(3) 人力資源安全管理與教育訓練。
(4) 資訊資產管理。
(5) 系統 存取控制管理。
(6)加密保護原則建立。
(7) 實體及環境安全管理。
(8)系統運作安全管理。
(9) 通訊安全管理。
(10) 系統取得、開發及維護管理。
(11)供應商關係管理。
(12) 資訊安全事件及事故管理。
(13) 資訊安全層面之 營運持續管理。
(14) 法規遵循管理。 - 中心應建立資訊安全風險管理機制,並因應內外資訊安全情勢變化,檢討資訊安全風險管理之有效性。
- 中心應保護機敏資訊,及資通系統之機密性與完整性,避免未經授權之存取與竄改。
- 中心應建立資訊機房實體及環境安全防護措施及訂定資訊安全之營運持續計畫並實際演練,確保資訊業務持
續運作。
- 若發生違反資訊安全之事件,應採取行動以控制、矯正及處理所產生之後果,並針對現有資訊安全措施,進
行檢視並評估是否調整。
- 對於辦理資通安全業務有功人員,將酌予進行獎勵;如有違反資訊安全規定者,依情節輕重簽報懲處。