您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 花蓮縣政府資訊安全政策及適用性聲明書
公發布日: 民國 95 年 09 月 20 日
修正日期: 民國 95 年 12 月 10 日
發文字號: 府行法字第0980187182B號
法規體系: 行政暨研考
圖表附件:
法規功能按鈕區
 

一、目的:

花蓮縣政府(以下稱本府)為強化資訊安全管理,建立
安全及可信賴之電子化政府作業環境,以確保資料、系
統、設備及網路安全,保障民眾權益,特訂定本政策。
俾便本府推行資訊安全管理時有所遵循。

二、依據:

本政策係依據:

(一)行政院及所屬各機關資訊安全管理規範。

(二)行政院及所屬各機關資訊安全管理要點。

(三)電腦處理個人資料保護法。

(四)政府所屬各級行政機關電腦軟體管理作業要點。

(五)國家機密保護法。

(六)ISO27001:2005資訊安全管理之作業要點及BS779
9-2:2005資訊安全管理系統規範

三、資訊安全定義:

所謂資訊安全係將管理程序及安全防護技術應用於各項
資訊作業,包含作業執行時所使用之各項資訊系統軟、
硬體設備、存放各種資訊及資料之檔案媒體及經由列表
機所列印之各式報表,以確保資訊蒐集、處理、傳送、
儲存及流通之安全。

四、資訊安全目標:

(一)確保資料之機密性及防止非法使用:

非法存取之事件,每年發生次數不得超過3次。

(二)確保資訊系統及設備之完整性、可用性及安全性:

每一資訊系統因資安事件導致服務停頓,每半年
小於3次(含)以下,每次不得超過36小時。

(三)確保資訊業務運作之有效性及持續性:

每半年至少需執行1次「資訊業務持續運作計畫」
之演練,並於2年內完成業務持續運作計畫內之所
有演練。

(四)確保員工對資訊安全有一定認知:

每人每年至少應接受4小時以上的資訊安全教育訓
練。

(五)確保資安措施符合政策及法令要求:

每半年至少稽核1次。

五、資訊安全範圍:

(一)資訊安全權責分工。

(二)人員管理及資訊安全教育訓練。

(三)電腦系統安全管理。

(四)網路安全管理。

(五)系統存取管制。

(六)系統發展及維護安全管理。

(七)資訊資產安全管理。

(八)實體及環境安全管理。

(九)業務永續運作計畫管理。

(十)資訊安全稽核。

(十一)資訊安全事件通報管理。

六、資訊安全組織:

依據本府之「資訊安全推行委員會設置要點」規定辦理。

七、資訊安全分工原則:

(一)資訊安全政策、計畫、措施、技術規範之研議及
安全技術之研究、建置、評估相關事項由資訊科
負責辦理。

(二)資料及資訊系統之安全需求研議、使用管理及保護
等事項,由各業務單位負責辦理。

(三)資訊機密維護及稽核使用管理事項,由政風處會同
相關單位負責辦理。

(四)人員進用安全評估由人事處負責辦理。

(五)資訊設備相關機電消防配套措施及管理事項,由資
訊科配合行政暨研考處負責辦理。

(六)本府之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件,資訊安全推行委員會工作小組應在最短期間
內訂定應變措施,將處理情形記錄備查,並提交
資訊安全推行委員會覆核。

(七)教育訓練由資訊科會同相關單位負責辦理。

八、資訊資產分類、等級及評鑑原則:

(一)分類:

依據各項作業內容特性,將資產分為電子化資訊
資產、實體資產、軟體資產、服務、書面文件及
人員6大類。

(二)等級:

依照各類資產所具有之機密性、完整性及可用性
評估該資產反應出之價值。

(三)評鑑:

根據資產本身之脆弱性、威脅及衝擊,評鑑其風險
等級。經分級與評鑑後,依其所具備之價值,施
以適當程度之安全控管。

九、不可接受風險等級:

執行風險評鑑後,將資產區分為不同風險等級,其中屬於
「不可接受風險」之資產,應訂定風險控制計畫據以監
督控管,並落實執行追蹤控制。

十、適用性聲明書:

依據ISO27001:2005標準要求產出適用性聲明書,以書面方
式列舉資訊資產是否適用其標準所列之控制措施,及其不
適用之原因。當組織架構、人員、設備、實體環境等變動
時,資訊安全推行委員會工作小組應重新定義控制措施之
適用性。

十一、附則:

本「資訊安全政策」經資訊安全推行委員會審核後實施,
修正時亦同。