您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

修正「宜蘭縣政府資訊安全政策 」

主管機關: 宜蘭縣政府計畫處
發文機關: 宜蘭縣政府秘書處
發文日期: 100.03.28
發文字號: 府計資規字第1000044840號 函
異動性質: 修正
旨: 修正「宜蘭縣政府資訊安全政策 」
法規名稱: 宜蘭縣政府資訊安全政策
法規內文:

一、 目的

宜蘭縣政府為強化資訊安全管理,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定資訊安全政策(以下簡稱本政策)。本政策未規定事項依政府其他資訊安全法規辦理,以達成資訊之機密性、完整性、可用性與適法性。

二、  名詞解釋

本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。

(一)                機密性:指確保只有經過授權的人才能存取資訊資產。

(二)                完整性:指確保資訊資產其處理方法的準確性及完整。

(三)                   可用性:指確保授權的使用者在需要時,可以使用資訊資產。

(四)                   適法性:符合本國相關法令規範。

三、  適用範圍

本政策適用於各項資訊資產及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。

四、            依據

本政策係依據行政院及所屬各機關資訊安全管理要點,並參酌行政院及所屬各機關資訊安全管理規範、國家資通訊安全發展方案等有關法令、計畫,及ISO/CNS 27001資訊安全管理系統標準,考量業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。

五、               組織

為統籌資訊安全管理等事項之協調、規劃、稽核及推動,特成立跨單位之資訊安全推動組織幕僚作業由計畫處負責,並依下列分工原則,配賦有關單位及人員權責:

(一)、                   資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由計畫處負責辦理。

(二)、                   資料及資訊系統之安全需求研議、管理及保護等事項,由各業務單位負責辦理。

(三)、                   資訊機密維護及安全稽核等事項,由政風處會同相關單位負責辦理。

驗證實施範圍推動組織詳ISMS-2-0-01資訊安全管理組織與責任分工程序書。

六、            實施範圍

有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:

(一)、                資訊安全政策。

(二)、                   資訊安全的組織。

(三)、                   資訊資產安全管理。

(四)、                   人員管理及資訊安全教育訓練。

(五)、                   實體及環境安全管理。

(六)、                   通訊與作業管理。

(七)、                   系統存取控制。

(八)、                   系統發展及維護安全管理。

(九)、                   資訊安全事件管理。

(十)、                   業務永續運作計畫之規劃與管理。

(十一)、         適法性管理。

(十二)、      相關實施程序詳ISMS-2-0-02 資訊安全實施程序書。

七、               內容

(一)、                   各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。

(二)、                   由計畫處負責資訊安全制度之建立及推動事宜。

(三)、                   定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。

(四)、                   建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。

(五)、                   建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。

(六)、                   建立電腦機房實體及環境安全防護措施,並定期實施相關保養。

(七)、                   明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。

(八)、                   訂定資訊安全內部稽核計畫,定期檢視個人電腦使用情形。

(九)、                訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。

(十)、                   所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。

八、               實施與修正

本政策奉  縣長核定後實施,修正時亦同。