一、目的
花蓮縣政府(以下稱本府)為強化資通安全管理,建立安全及可信賴之電子
化政府作業環境,以確保資料、系統、設備及網路安全,保障民眾權益,特
訂定本政策。
二、依據
(一)國際標準組織 ISO/IEC 27001 資訊安全管理系統驗證標準規範。
(二)資通安全管理法。
三、資訊安全管圍
(一)資通安全文件管理。
(二)資通安全管理組織管理。
(三)資通訊資產暨風險管理。
(四)人力資源及訓練管理。
(五)實體與環境安全管理。
(六)通訊與作業管理。
(七)存取控制管理。
(八)系統開發維護管理。
(九)資通安全事故管理。
(十)營運持續管理。
(十一)資通安全稽核管理。
四、資訊安全責任
(一)管理階層應積極參與及支持資通安全管理系統,並透過適當之標準和程
序實施本政策。
(二)本府應成立資訊安全組織統籌資訊安全事項之推動。
(三)資通安全推行委員會相關成員負責本府資通安全管理系統之建置與維護。
(四)適用範圍內之人員皆應遵守本政策。
(五)任何危及資通安全之行為,將視情節輕重追究其法律責任、行政責任或
依本府之相關規定進行懲處。
五、資訊安全目標
為維護本府資通訊資產之機密性、完整性與業務服務之可用性,期藉由本府
全體同仁共同努力以達成下列目標:
(一)確保資通訊資產之機密性,資通訊資產須經適當授權方可存取。
(二)確保資通訊資產之完整性,資通訊資產應避免未經授權或非預期之變
更或修改。
(三)確保業務服務之可用性及持續運作。
(四)確保業務服務之執行符合相關法令或規範之要求。
六、資訊安全組織 設置資通安全推行委員會,負責本府資通安全管理推動事宜,
詳細設立依據本府ISO 27001 ISMS 資訊安全管理系統四階文件規定辦理。
七、適用性聲明書 依據 ISO27001 標準要求產出適用性聲明書,以書面方式列舉
是否適用ISO 27001 標準各項條文要求項目,及其適用或不適用之原因。
八、附則本「資通安全政策」經資通安全推行委員會審核後實施,修正時亦同。