一、目的:
花蓮縣政府(以下稱本府)為強化資訊安全管理,建立
安全及可信賴之電子化政府作業環境,以確保資料、系
統、設備及網路安全,保障民眾權益,特訂定本政策。
俾便本府推行資訊安全管理時有所遵循。
二、依據:
本政策係依據:
(一)行政院及所屬各機關資訊安全管理規範。
(二)行政院及所屬各機關資訊安全管理要點。
(三)電腦處理個人資料保護法。
(四)政府所屬各級行政機關電腦軟體管理作業要點。
(五)國家機密保護法。
(六)ISO27001:2005資訊安全管理之作業要點及BS779
9-2:2005資訊安全管理系統規範。
三、資訊安全定義:
所謂資訊安全係將管理程序及安全防護技術應用於各項
資訊作業,包含作業執行時所使用之各項資訊系統軟、
硬體設備、存放各種資訊及資料之檔案媒體及經由列表
機所列印之各式報表,以確保資訊蒐集、處理、傳送、
儲存及流通之安全。
四、資訊安全目標:
(一)確保資料之機密性及防止非法使用:
非法存取之事件,每年發生次數不得超過3次。
(二)確保資訊系統及設備之完整性、可用性及安全性:
每一資訊系統因資安事件導致服務停頓,每半年
小於3次(含)以下,每次不得超過36小時。
(三)確保資訊業務運作之有效性及持續性:
每半年至少需執行1次「資訊業務持續運作計畫」
之演練,並於2年內完成業務持續運作計畫內之所
有演練。
(四)確保員工對資訊安全有一定認知:
每人每年至少應接受4小時以上的資訊安全教育訓
練。
(五)確保資安措施符合政策及法令要求:
每半年至少稽核1次。
五、資訊安全範圍:
(一)資訊安全權責分工。
(二)人員管理及資訊安全教育訓練。
(三)電腦系統安全管理。
(四)網路安全管理。
(五)系統存取管制。
(六)系統發展及維護安全管理。
(七)資訊資產安全管理。
(八)實體及環境安全管理。
(九)業務永續運作計畫管理。
(十)資訊安全稽核。
(十一)資訊安全事件通報管理。
六、資訊安全組織:
依據本府之「資訊安全推行委員會設置要點」規定辦理。
七、資訊安全分工原則:
(一)資訊安全政策、計畫、措施、技術規範之研議及
安全技術之研究、建置、評估相關事項由資訊科
負責辦理。
(二)資料及資訊系統之安全需求研議、使用管理及保護
等事項,由各業務單位負責辦理。
(三)資訊機密維護及稽核使用管理事項,由政風處會同
相關單位負責辦理。
(四)人員進用安全評估由人事處負責辦理。
(五)資訊設備相關機電消防配套措施及管理事項,由資
訊科配合行政暨研考處負責辦理。
(六)本府之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件,資訊安全推行委員會工作小組應在最短期間
內訂定應變措施,將處理情形記錄備查,並提交
資訊安全推行委員會覆核。
(七)教育訓練由資訊科會同相關單位負責辦理。
八、資訊資產分類、等級及評鑑原則:
(一)分類:
依據各項作業內容特性,將資產分為電子化資訊
資產、實體資產、軟體資產、服務、書面文件及
人員6大類。
(二)等級:
依照各類資產所具有之機密性、完整性及可用性
評估該資產反應出之價值。
(三)評鑑:
根據資產本身之脆弱性、威脅及衝擊,評鑑其風險
等級。經分級與評鑑後,依其所具備之價值,施
以適當程度之安全控管。
九、不可接受風險等級:
執行風險評鑑後,將資產區分為不同風險等級,其中屬於
「不可接受風險」之資產,應訂定風險控制計畫據以監
督控管,並落實執行追蹤控制。
十、適用性聲明書:
依據ISO27001:2005標準要求產出適用性聲明書,以書面方
式列舉資訊資產是否適用其標準所列之控制措施,及其不
適用之原因。當組織架構、人員、設備、實體環境等變動
時,資訊安全推行委員會工作小組應重新定義控制措施之
適用性。
十一、附則:
本「資訊安全政策」經資訊安全推行委員會審核後實施,
修正時亦同。