跳到主要內容區塊
:::
:::

資訊安全管理政策

壹、 簡介 為遵循相關法令並保護教育部青年發展署(以下簡稱本署)資訊資產(包括資料、軟體、硬體設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂本署資訊安全政策以做為遵循依據。
貳、 目的
為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資訊資產之安全,本署之資訊安全政策訂為:
一、 確保本署相關業務資訊之機密性,防止本署敏感資訊及民眾個人資料外洩與遺失。
二、 確保本署相關業務資訊之完整性與可用性,以正確執行本署作業與各項業務。
參、 名詞解釋
一、 資訊安全之本質分為以下三類:
(一) 機密性:使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
(二) 完整性:保護資產之準確度和完全性的性質。
(三) 可用性:在獲授權個體要求時,可取得及使用之性質。
二、 本署資訊安全即為確保本署資訊資產之機密性、完整性與可用性。
肆、 適用範圍
本政策適用於本署所有同仁(包含所有職員、約聘僱人員、派遣人員、技工工友駕駛、臨時人員、駐點人員及替代役等)、委外服務廠商及訪客。
伍、 實施方法
依據ISO/IEC 27001指導規範之「建立—實作—維持—持續改善」模式,發展、維護及持續改善文件化的資訊安全管理系統。

陸、 組織與職責
為使資訊安全管理系統有效運行,各單位之權責劃分如下:
一、 為確保管理階層實際支持各項資訊安全措施,本署高階主管應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全組織,以配置資訊安全責任與進行有效之資源管理。
二、 管理階層應積極參與、支持及承諾持續改善資訊安全管理制度,並透過適當的標準和程序以實施本政策。
三、 本署各單位應透過適當程序落實本政策之要求。
四、 本署所有同仁(包含所有職員、約聘僱人員、派遣人員、技工工友駕駛、臨時人員、駐點人員及替代役等)、委外服務廠商及訪客都應遵循本政策。
五、 本署所有同仁(包含所有職員、約聘僱人員、派遣人員、技工工友駕駛、臨時人員、駐點人員及替代役等)、委外服務廠商及訪客,皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。
柒、 資訊安全目標
為達成上述目的,本署以資訊安全本質為基準,訂定相關安全目標,同時爲有效量測資訊安全目標是否達成,每年須經管理審查會議審核年度資訊安全之具體量化管理指標,並說明量測之標準。
相關目標包括:
一、 確保因資訊安全事件、異常事件、其他安全事故所造成敏感等級資料外洩之情事,每年不得超過0次。
二、 確保因資訊安全事件、異常事件、其他安全事故所造成關鍵業務系統資料不完整或不正確之情事,每年不得超過0次。
三、 關鍵業務系統服務達全年服務時間98%以上。
四、 確保相關資訊安全措施或規範符合政策與現行法令之要求,每年至少進行一次查核。
五、 每年至少進行一次業務持續計畫之測試及檢核。

捌、 聲明
資訊是本署有價值的資產,永續經營依賴的是資訊的完整性和持續的可用性,遵循資訊安全的規範可保護資訊免於未經授權的使用、修改、公開或破壞,無論這些破壞來自意外的或蓄意的。
保護這些資產是本署全體同仁的基本責任:
一、 確保這些資產只被運用在經管理階層核可的範圍內。
二、 遵循本署資訊安全管理制度的安全規範和程序。
三、 所有同仁都應確實了解自己的責任並保護這些資產。
以一簡單、容易記憶與符合資訊安全管理目標為原則,訂定本署資訊安全政策聲明為:
”資訊安全,人人有責”

玖、 實施原則
本署資訊安全政策之實施原則是以 ISO/IEC 27001的管控要項條文為依據而訂定的,內容說明如後:
一、 資訊安全政策
訂定資訊安全政策做為資訊安全管理系統的指導方針,經由資訊安全組織核准、頒行,並透過適當管道,宣導給全體同仁,且於重大改變時或既定期間審查,以確保其適當性與有效性。
二、 資訊安全之組織
成立資訊安全組織並賦予相對權責,以建置與維運此系統:
(一) 資訊安全組織清楚地訂定資安方向、分派資安職責與分配適切經費,以執行相關安控措施,藉以表達對資安的承諾。
(二) 指派相關代表負責部門間之資安協調工作、聯繫外部相關執法機關或主管機關及作為資安技術方面的聯絡窗口。
(三) 研擬保密協議且定期審查其適用性。
(四) 實施資訊安全管理系統時,須於重大變更時或既定期間內執行審查活動,以確保實施之成效。
(五) 評估與組織往來的單位與人員之潛在資安風險,以施予適切的安控措施,並須載明於雙方之合約。
(六) 建立符合本署資訊安全要求之遠距工作與使用行動裝置之相關規定。
三、 人力資源安全
人員的延攬、任用與離開工作崗位(離職或調換職務),須遵循下列規定:
(一) 管理階層須要求同仁遵循既定的安全規範。
(二) 政策與程序須透過適當的教育訓練,告知相關同仁並定期更新。
(三) 所有同仁於離開工作崗位時,須按照既定的程序辦理相關資產退回與存取權限的變更或取消。
(四) 違反資安規範時,須施以適當的懲戒,以確保安控規範之實施成效。
四、 資產管理
(一) 鑑別所有資產,將重要的資產作成清冊並維護之。
(二) 所有資產都要指派專人管理。
(三) 所有資訊設施相關的資訊與資產的使用,均要明文規範且實施之。
五、 存取控制
資訊處理設備的存取原則,包括下列各項:
(一) 使用者使用資訊處理設施,須有一套註冊、變更與刪除機制並定期審查。
(二) 使用者使用資訊處理設施,須設定使用密碼。
(三) 訂定網路服務政策,區隔內部網路,訂定聯外方式,以維護網路安全。
(四) 訂定應用系統之存取控制,以保護其相關的資訊。
六、 密碼學
確保適當及有效使用密碼學,以護資訊之機密性、鑑別性或完整性,另外應採用適當之密碼與金鑰控制措施,以確保資訊資產之使用符合資訊安全要求。
七、 實體及環境安全
訂定適切的管控措施,以保護實體及環境安全,包括:
(一) 規範實體安全界限、進出管制方式、保護辦公處所及設備、載明在安全區域中工作的規範,並隔離進貨與出貨區域。
(二) 設備妥為安置與保護、有適當服務公共設施(包括電源、通風設備與空調)、傳輸線有考慮其佈置安全性、有適當的方法保護在本署內、外使用的設備。
八、 運作安全
資訊處理設施的日常作業控管原則,包括下列各項:
(一) 以實際系統運作狀況規劃資訊處理設施的需求,且採購時要確實執行驗收工作;設施運作時若需變更,須依據變更管理程序執行系統變更。
(二) 訂定資訊與資訊系統文件使用之規範,以防範機密資訊外洩或不當使用。
(三) 資訊處理設施須有備份作業,以維持服務之完整性與可用性。
(四) 隨時監督系統使用狀況,並記錄之,同時妥善保存使用軌跡(Logs)。
九、 通訊安全
網路及其支援之資訊處理設施的日常作業控管原則,包括下列各項:
(一) 資訊與軟體在線上交換以及儲存媒體之使用,均須適切保護。
(二) 須有一系列網路安全控制機制,以維護網路安全。
(三) 業務應用系統、電子郵件等,均須有適切的保護措施。
十、 系統獲取、開發及維護
訂定資訊系統取得、開發及維護之管控原則,以確保資訊系統與資訊受到妥善保護:
(一) 資訊系統的安全需求要確切提出,並以明文規範之。
(二) 確實驗證資訊系統的輸入與輸出資料。
(三) 開發資訊系統時,以變更控制程序管控需求變更。上線時,原始程式密碼、執行碼與測試資料均要管控。
(四) 採購套裝軟體與一般軟體,均要防範秘密通道與木馬程式,並嚴格控管使用與修改。
(五) 適時評估資訊系統的漏洞所造成的風險,採取適當措施,以保護資訊的安全。
(六) 應小心選擇、保護及控制測試資料,儘量避免使用真實資料進行測試作業。
十一、 供應者關係
確保對供應商可存取之組織資產的保護並維持資訊安全及服務交付之議定等級與供應商協議一致,包括下列各項:
(一) 辦理資訊業務委外作業,委外需求單位應於事前考量資訊安全需求,明訂供應商之資訊安全責任及保密規定,並列入契約,要求供應商遵守並保留本署稽核權力,且相關契約應涵蓋「處理與資通訊技術技術及產品供應鏈之資訊安全風險」之需求。
(二) 委外需求單位應與供應商訂定符合資訊安全與服務水準要求之服務水準,並進行評量,以確保供應商提供之服務滿足本署之需求;若服務內容有所變更時,應重新評估相關資訊安全風險與服務水準之影響後再行實施。
十二、 資訊安全事故管理
為有效管理資訊安全事件以降低影響層面,故全體同仁均須遵循下列原則:
(一) 同仁有回報資安事件、弱點與軟體失能的責任,並從中學習以改善資訊安全環境。
(二) 確實記錄與蒐集相關資安紀錄。
(三) 定期彙總分析資訊安全事件,以採取適切的管控措施。
十三、 營運持續管理之資訊安全層面
明訂營運持續管理的控制原則,以確保本署持續營運無虞:
(一) 明訂營運持續運作的管理流程與資訊安全要求。
(二) 執行營運持續的風險評鑑與衝擊分析。
(三) 確保營運持續實施時維持必要之資訊安全要求。
(四) 撰寫與實施營運持續計畫並定期審查之,以維持其適合性。
(五) 應對資訊處理設施實作充分之多重備援,以符合可用性要求。
十四、 遵循性
為確認資訊安全管理系統的施行符合相關法令、安全政策與最近技術趨勢,故訂定遵循性確認原則:
(一) 鑑別適用的法令、規章、以確保法規與密碼學要求的符合性。
(二) 保障個人可識別資訊與隱私權。
(三) 蒐集並保護本署之資訊紀錄。
(四) 定期檢查安全政策與技術之符合性。
(五) 應使用密碼式控制措施,以遵循所有相關協議、法律及法規。
(六) 定期辦理獨立性之審查作業以確保依組織政策及程序,實作運資訊安全。
壹拾、 其他規定
一、 本署所有同仁(包含所有職員、約聘僱人員、派遣人員、技工工友駕駛、臨時人員、駐點人員及替代役等)、委外服務廠商及訪客若違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
二、 本署所有同仁(包含所有職員、約聘僱人員、派遣人員、技工工友駕駛、臨時人員、駐點人員及替代役等)、委外服務廠商及訪客應瞭解於本署工作期間所有取得之資訊皆為本署之資產,未經允許,禁止做任何其他未授權之使用。
三、 與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
壹拾壹、 修訂
本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
計劃分類 : 計畫公告
瀏覽數  
將此文章推薦給親友
請輸入此驗證碼