| ::: |
|
|
|
|
| 資訊安全政策 |
- 臺灣省政府(以下稱本府)資訊安全管理系統(ISMS)資訊安全政策之目的
- 確保本府主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資訊安全管理規範。
- 確保本府業務資訊之機密性、完整性與可用性。
- 機密性:確保被授權之人員才可使用資訊。
- 完整性:確保使用之資訊正確無誤、未遭竄改。
- 可用性:確保被授權之人員能取得所需資訊。
- 依據
- ISO/IEC 27001:2005 (Information technology - Security techniques - Information security management systems - Requirements)
- ISO/IEC 27002:2005 (Information technology - Security techniques - Code of practice for information security management)
- 行政院及所屬各機關資訊安全管理要點
- 行政院及所屬各機關資訊安全管理規範
- 建立我國資通訊基礎建設安全機制計畫
- 行政院國家資通安全會報之「各機關處理資通安全事件危機通報緊急應變作業注意事項」
- 行政院國家資通安全會報之「各政府機關(構)落實資安事件危機處理具體執行方案」
- 行政院國家資通安全會報之「各政府機關(構)資訊安全責任等級分級作業施行計畫」
- 行政院國家資通安全會報技術服務中心之「資通安全管理制度導入手冊」
- 行政院所屬各機關資訊業務委外服務作業參考原則
- 資通安全管理制度風險評估手冊
- 資訊安全政策內容
- 本府各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、電腦處理個人資料保護法等)之規定。
- 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
- 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
- 建立主機及網路使用之管理機制,以統籌分配、運用資源。
- 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
- 建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
- 明確規範網路系統之使用權限,防止未經授權之存取動作。
- 訂定資訊安全管理系統內部稽核計畫,定期檢視本府推行資訊安全管理系統範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
- 訂定營運持續管理規定並實際演練,確保本府業務持續運作。
- 本府所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。
- 資訊安全管理系統文件應有明確之管理規範。
- 資訊安全政策之評估
- 資訊安全政策應定期進行評估,以反映政府資訊安全管理政策、法令、技術及本府業務之最新狀況,並確保本府資訊安全管理系統的可行性及有效性。
|
|
|
|
|
|
