|
一、目的 宜蘭縣政府為強化資訊安全管理,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定資訊安全政策(以下簡稱本政策)。本政策未規定事項依政府其他資訊安全法規辦理,以達成資訊之機密性、完整性、可用性與適法性。 |
|
二、名詞解釋 本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。 (一) 機密性:指確保只有經過授權的人才能存取資訊資產。 (二)完整性:指確保資訊資產其處理方法的準確性及完整。 (三)可用性:指確保授權的使用者在需要時,可以使用資訊資產。 (四)適法性:符合本國相關法令規範。 |
|
三、適用範圍 本政策適用於各項資訊資產及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。 |
|
四、依據 本政策係依據行政院及所屬各機關資訊安全管理要點,並參酌行政院及所屬各機關資訊安全管理規範、國家資通訊安全發展方案等有關法令、計畫,及ISO/CNS 27001資訊安全管理系統標準,考量業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。 |
|
五、 組織 為統籌資訊安全管理等事項之協調、規劃、稽核及推動,特成立跨單位之資訊安全推動組織幕僚作業由計畫處負責,並依下列分工原則,配賦有關單位及人員權責: (一)、 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由計畫處負責辦理。 (二)、 資料及資訊系統之安全需求研議、管理及保護等事項,由各業務單位負責辦理。 (三)、 資訊機密維護及安全稽核等事項,由政風處會同相關單位負責辦理。
驗證實施範圍推動組織詳ISMS-2-0-01資訊安全管理組織與責任分工程序
書。 |
|
六、實施範圍 有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效: (一)、資訊安全政策。 (二)、資訊安全的組織。 (三)、資訊資產安全管理。 (四)、人員管理及資訊安全教育訓練。 (五)、實體及環境安全管理。 (六)、通訊與作業管理。 (七)、系統存取控制。 (八)、系統發展及維護安全管理。 (九)、資訊安全事件管理。 (十)、 業務永續運作計畫之規劃與管理。 (十一)、適法性管理。 (十二)、相關實施程序詳ISMS-2-0-02 資訊安全實施程序書。 |
|
七、 內容 (一)、 各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。 (二)、 由計畫處負責資訊安全制度之建立及推動事宜。 (三)、 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。 (四)、 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。 (五)、 建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。 (六)、 建立電腦機房實體及環境安全防護措施,並定期實施相關保養。 (七)、 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。 (八)、 訂定資訊安全內部稽核計畫,定期檢視個人電腦使用情形。 (九)、 訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。 (十)、 所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。 |
|
八、 實施與修正 本政策奉 縣長核定後實施,修正時亦同。 |