一、目的

宜蘭縣政府為強化資訊安全管理，確保資訊資料、系統、設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險，特訂定資訊安全政策(以下簡稱本政策)。本政策未規定事項依政府其他資訊安全法規辦理，以達成資訊之機密性、完整性、可用性與適法性。

二、名詞解釋

本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅，並降低可能影響及危害業務運作之損害程度。

（一） 機密性：指確保只有經過授權的人才能存取資訊資產。

（二）完整性：指確保資訊資產其處理方法的準確性及完整。

（三）可用性：指確保授權的使用者在需要時，可以使用資訊資產。

         （四）適法性：符合本國相關法令規範。

三、適用範圍

本政策適用於各項資訊資產及其資訊使用者，資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。

四、依據
本政策係依據行政院及所屬各機關資訊安全管理要點，並參酌行政院及所屬各機關資訊安全管理規範、國家資通訊安全發展方案等有關法令、計畫，及ISO/CNS 27001資訊安全管理系統標準，考量業務需求，訂定資訊安全政策及相關標準作業程序，以建立資訊安全管理機制、強化資訊安全防護，提昇資訊安全之水準。

五、 組織

為統籌資訊安全管理等事項之協調、規劃、稽核及推動，特成立跨單位之資訊安全推動組織幕僚作業由計畫處負責，並依下列分工原則，配賦有關單位及人員權責：

(一)、     資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由計畫處負責辦理。

(二)、      資料及資訊系統之安全需求研議、管理及保護等事項，由各業務單位負責辦理。

(三)、     資訊機密維護及安全稽核等事項，由政風處會同相關單位負責辦理。

驗證實施範圍推動組織詳ISMS-2-0-01資訊安全管理組織與責任分工程序

書。

六、實施範圍

有關單位及人員應就下列事項訂定相關管理規範或實施計畫，並定期評估實施成效：

(一)、資訊安全政策。

(二)、資訊安全的組織。

(三)、資訊資產安全管理。

(四)、人員管理及資訊安全教育訓練。

(五)、實體及環境安全管理。

(六)、通訊與作業管理。

(七)、系統存取控制。

(八)、系統發展及維護安全管理。

(九)、資訊安全事件管理。

(十)、 業務永續運作計畫之規劃與管理。

(十一)、適法性管理。

(十二)、相關實施程序詳ISMS-2-0-02 資訊安全實施程序書。

七、 內容

(一)、    各項資訊安全管理規定必須遵守政府相關法規(如：刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）之規定。

(二)、   由計畫處負責資訊安全制度之建立及推動事宜。

(三)、    定期實施資訊安全教育訓練，宣導資訊安全政策及相關實施規定。

(四)、    建立資訊硬體設施及軟體之管理機制，以統籌分配、運用資源。

(五)、     建置新資訊系統前，應將資訊安全納入考量因素，防範發生危害系統安全之情況。

(六)、    建立電腦機房實體及環境安全防護措施，並定期實施相關保養。

(七)、    明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。

(八)、    訂定資訊安全內部稽核計畫，定期檢視個人電腦使用情形。

(九)、     訂定資訊安全之業務持續運作計畫並實際演練，確保業務持續運作。

(十)、     所有人員負有維持資訊安全之責任，且應遵守相關之資訊安全管理規定。

八、  實施與修正

本政策奉  縣長核定後實施，修正時亦同。