一、
目的
宜蘭縣政府為強化資訊安全管理,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定資訊安全政策(以下簡稱本政策)。本政策未規定事項依政府其他資訊安全法規辦理,以達成資訊之機密性、完整性、可用性與適法性。
二、 名詞解釋
本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。
(一)
機密性:指確保只有經過授權的人才能存取資訊資產。
(二)
完整性:指確保資訊資產其處理方法的準確性及完整。
(三)
可用性:指確保授權的使用者在需要時,可以使用資訊資產。
(四)
適法性:符合本國相關法令規範。
三、 適用範圍
本政策適用於各項資訊資產及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。
四、
依據
本政策係依據行政院及所屬各機關資訊安全管理要點,並參酌行政院及所屬各機關資訊安全管理規範、國家資通訊安全發展方案等有關法令、計畫,及ISO/CNS 27001資訊安全管理系統標準,考量業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。
五、
組織
為統籌資訊安全管理等事項之協調、規劃、稽核及推動,特成立跨單位之資訊安全推動組織幕僚作業由計畫處負責,並依下列分工原則,配賦有關單位及人員權責:
(一)、
資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由計畫處負責辦理。
(二)、
資料及資訊系統之安全需求研議、管理及保護等事項,由各業務單位負責辦理。
(三)、
資訊機密維護及安全稽核等事項,由政風處會同相關單位負責辦理。
驗證實施範圍推動組織詳ISMS-2-0-01資訊安全管理組織與責任分工程序書。
六、
實施範圍
有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:
(一)、
資訊安全政策。
(二)、
資訊安全的組織。
(三)、
資訊資產安全管理。
(四)、
人員管理及資訊安全教育訓練。
(五)、
實體及環境安全管理。
(六)、
通訊與作業管理。
(七)、
系統存取控制。
(八)、
系統發展及維護安全管理。
(九)、
資訊安全事件管理。
(十)、
業務永續運作計畫之規劃與管理。
(十一)、
適法性管理。
(十二)、
相關實施程序詳ISMS-2-0-02 資訊安全實施程序書。
七、
內容
(一)、
各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
(二)、
由計畫處負責資訊安全制度之建立及推動事宜。
(三)、
定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
(四)、
建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
(五)、
建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
(六)、
建立電腦機房實體及環境安全防護措施,並定期實施相關保養。
(七)、
明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
(八)、
訂定資訊安全內部稽核計畫,定期檢視個人電腦使用情形。
(九)、
訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
(十)、
所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。
八、
實施與修正
本政策奉
縣長核定後實施,修正時亦同。