資訊安全管理政策
一、政策目標
本政策為同仁日常工作提供明確的資訊安全指導原則。全體人員均有義務參與推動資訊安全,以保障資料、資訊系統、設備與網路的安全維運。
落實資安,強化服務品質
維持業務資料的機密性、完整性與可用性,以適當措施降低未授權揭露、破壞或遺失的風險。
加強訓練,確保持續營運
透過定期教育訓練提升資安意識與緊急應變能力,降低營運風險。
建立應變,支援災害復原
針對重要資產與關鍵業務建立應變與復原計畫,並透過演練驗證。
二、管理原則
- 遵守適用的資通安全、個人資料、智慧財產與其他相關法規。
- 建立資訊安全管理組織,負責管理制度的建立、推動與審查。
- 建立主機、網路與資源使用的管理機制。
- 新設備與系統建置前應把風險與安全因素納入評估。
- 建立機房實體與環境安全措施,並定期保養。
- 明確規範系統與網路使用權限,防止未經授權存取。
- 建立內部稽核計畫,定期檢視人員與設備使用,並針對結果執行改善。
- 全體員工、約聘人員、工讀生、委外廠商、資料使用者與訪客均負有維持資安的責任。
- 資訊安全管理文件應有明確的版本與管理規範。
三、責任
- 管理階層負責建立與審查政策。
- 資訊安全管理者透過適當標準與程序實施。
- 所有人員與契約委外服務者均應依程序維護政策。
- 所有人員有責任通報安全事件與已辨識的弱點。
- 蓄意違反資訊安全規範者將依內部規範或法律追究。