資安政策
透過「資通安全政策」指導方針,提供中心內部資訊管理單位與資訊使用單位共通的資通安全管理準則,以建立「資通安全,人人有責;全員參與,持續改善」的觀念。
資通安全政策內容:
- 中心各項資通安全管理規定必須遵守政府相關法規,並將資通安全保護措施應用於中心資訊相關領域,以達成機密性 ( Confidentiality )、完整性 ( Integrity )、可用性 ( Availability ) 三項要求。
- 由資訊單位配合「資通安全管理委員會」,建立及推動資通安全措施,以落實並持續改善資通安全管理制度。
- 全面推動資通安全、雲端安全及隱私保護管理與落實組織、人員、實體、技術四大主題之所有控制措施,包含:
(1)資通安全政策制定。 (2)資通安全組織建立。 (3)人力資源安全管理與教育訓練。 (4)資訊資產管理。 (5)系統存取控制管理。
(6)加密保護原則建立。 (7)實體及環境安全管理。 (8)系統運作安全管理。 (9)通訊安全管理。 (10)系統取得、開發及維護管理。
(11)供應商關係管理。 (12)資通安全事件及事故管理。 (13)資通安全層面之營運持續管理。 (14)法規遵循管理。 - 中心應建立資通安全風險管理機制,並因應內外資通安全情勢變化,檢討資通安全風險管理之有效性。
- 中心應保護機敏資訊,及資通系統之機密性與完整性,避免未經授權之存取與竄改。
- 中心應建立資訊機房實體及環境安全防護措施及訂定資通安全之營運持續計畫並實際演練,確保資訊業務持續運作。
- 若發生違反資通安全之事件,應採取行動以控制、矯正及處理所產生之後果,並針對現有資通安全措施,進行檢視並評估是否調整。
- 對於辦理資通安全業務有功人員,將酌予進行獎勵;如有違反資通安全規定者,依情節輕重簽報懲處。