目的
內政部國家公園署金門國家公園管理處(以下簡稱本處)為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),以提供本處資訊服務持續運作之環境,並符合相關法規要求,特訂定本政策。
適用範圍- 本處所有單位。
- 資訊安全管理涵蓋14項管理事項:
- 資訊安全政策訂定與評估。
- 資訊安全組織。
- 人力資源安全管理。
- 資訊資產管理。
- 存取控制安全管理。
- 資訊加密管理。
- 實體與環境安全管理。
- 系統作業管理。
- 通訊安全管理。
- 資訊系統獲取、開發與維護之安全管理。
- 支援關係管理。
- 資訊安全事件之通報與應變管理。
- 營運持續運作管理。
- 相關法規與施行單位政策之符合性。
權責- 資訊安全推動小組
建立及審核此政策並透過適當的標準和程序實施此政策。
名詞定義- 資訊資產:係指為維持本處資訊業務正常運作之硬體、軟體、通訊、資料、服務、文件及人員。
- 營運持續運作之環境:係指為維持本處各項資訊業務正常運作所需之作業環境。
流程圖
無。
作業說明資訊安全政策
為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
- 應因應資通安全威脅情勢變化,本處同仁應參與資通安全教育訓練,以提高資通安全意識。
- 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
- 定期進行內部稽核,確保相關作業皆能確實落實。
資訊安全目標
- 本處同仁每年皆完成 3 小時資通安全教育訓練。
- 知悉資安事件發生,能於規定的時間完成通報、應變及復原作業。 (年度 3 級事件發生≤1 次)。
- 前次內部稽核發現事項,未完成改善之件數應≦2 件。
責任
- 本處員工及與本處往來之外部單位、廠商及第三方人員等,皆需遵守本處資訊安全相關制度及規範,如有違反者,必須自行承擔所有引發的風險及責任。
- 所有人員於知悉任何危及資訊安全之事件或風險時,皆需依程序進行通報。
- 因故意或過失之行為,危害本處資訊安全者,將視情節輕重追究其民事、刑事及行政責任。
審查
- 定期:本政策應每年審查1次,以反映法規、技術及業務等最新發展現況。
- 不定期:當本處面臨下列狀況時,應針對資訊安全政策進行檢討與審查。
- 本處營運策略發生重大變更。
- 資訊安全管理委員會召集人異動。
- 發生重大資訊安全事件。
實施
本政策發行、修訂與廢止需經資訊安全推動小組召集人進行審核後以適當方式公告實施。