資訊安全宣示
教育部青年發展署資訊安全政策宣示
中華民國97年12月18日青字第0970510020號函
壹、政策緣由
為遵循相關法令並保護教育部青年發展署(以下簡稱本署)資訊資產(包括資料、軟體、硬體設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制定本署資通安全政策以做為遵循依據。
貳、依據本資通安全政策(以下簡稱本政策)係依據本署之任務目標與「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」等相關法令與規定而訂定。
參、政策說明一、資通安全本質
(一)
二、政策目的與說明資通安全之本質分為以下三類:
- 可用性:確保經授權的人員在需要時,均能在可接受的時間內取得相關資訊及設備。
- 完整性:維持資訊或系統之正確與完整。
- 機密性:確保只有經授權的人員才能存取相關資訊。
為達成本署之任務目標及最高管理階層對資通安全之期許與要求,確保本署資訊資產之安全,本署之資通安全政策訂為:
(一)
(二)
三、目標(一)
確保本署相關業務資訊之機密性,防止本署敏感資訊及民眾個人資料外洩與遺失。
(二)
確保本署相關業務資訊之完整性與可用性,以正確執行本署作業與各項業務。
為達成上述目的,以資通安全本質為基準,訂定相關安全目標,同時為有效量測資訊安全目標是否達成,每年須經資通安全會報會議審核年度資訊安全之具體量化管理指標並說明量測之標準。
相關目標分為定量與定性二類:
(一)
肆、適用範圍相關目標分為定量與定性二類:
(一)
定量化目標包括:
- 確保相關資通安全措施或規範符合政策與現行法令之要求,每年至少進行一次查核。
- 每半年至少進行一次業務持續計畫之測試及檢核。
定性化政策包括:
- 確保資訊資產受適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。
- 確保所有資通安全事件或可疑之安全弱點,皆依適當通報程序反映,並予以適當調查及處理。
- 符合政府資通安全相關政策、規定以及相關法令要求。
- 定期實施資通安全教育。
本政策適用於本署各單位。
伍、責任劃分為使資訊安全管理系統有效運行,各單位之權責劃分如下:
一、
二、
三、
四、
五、
陸、其他規定一、
為確保管理階層實際支持各項資通安全措施,本署高階主管(署長、副署長與主任秘書)應宣示落實資通安全之決心,並責成相關單位與人員成立資通安全會報,以配置資通安全責任與進行有效之資源管理。
二、
資通安全會報之召集人因故無法參與各項資通安全活動時由副召集人代理之。
三、
本署各單位應透過適當程序落實本政策之要求。
四、
本署所有人員(含員工及委外公司派駐本署服務之人員)、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
五、
本署所有人員(含員工及委外公司派駐本署服務之人員)皆負有通報所發現之資通安全事件或資通安全弱點之責任。
一、
二、
三、
柒、修訂本署所有人員(含員工及委外公司派駐本署服務之人員)違反本政策,或發生其他任何危及本署資通安全之行為,都將訴諸適當之處置程序或法律行動。
二、
本署所有人員(含員工及委外公司派駐本署服務之人員)應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許,禁止做任何其他未授權之使用。
三、
與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。
