壹、 目的
國立空中大學資訊科技中心 (以下簡稱本中心) 為推動資訊安全管理制度,建立安全及可信賴之資訊環境,確保資料、系統、設備及網路安全,依據本中心資訊安全暨個人資料保護管理手冊之規劃,訂定本資訊安全政策 (以下簡稱本政策),以為遵循。
貳、 適用範圍
本中心。
參、 定義
無。
肆、 權責
管理執行小組共同討論、編制、確認及公布本資訊安全政策。
伍、 作業程序
- 一、 資訊安全政策
- (一) 確保本校資訊安全,防範資安攻擊事件。。
- (二) 增進校務運作效能,達成永續發展目標。
本政策目標適用於本中心所有層級,並經由以下之說明及執行規劃來達成上述政策目標。
- 二、 資訊安全定義
應用管理程序及安全防護技術於各項資訊作業,包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體及經由列表機所列印之各式報表,俾能在校務營運及個人資料之資訊蒐集、處理、傳送、儲存及流通之過程中,確保資訊資產之完整性、可用性與機密性。
- 三、 資訊安全目標有效性量測
相關資訊安全目標達成有效性之測量項目與方法,需經本中心ISMS或資訊安全相關會議討論訂定,本中心資訊安全目標有效性量測方法依本系統所制訂「績效管理作業程序」規範辦理。
- 四、 風險評鑑
為識別本中心各項資訊資產的潛在風險,並選擇必要之控制要項進行改善預防措施,進而達到降低、迴避、轉移風險,預防資通安全事件之威脅發生,本中心資訊資產之風險評鑑及管理方法依本系統所制訂「風險評鑑與管理程序」規範辦理。
- 五、 權責分工
為落實執行本政策,本中心因應權責劃分如下:
- (一)本中心個人資料及資訊安全管理組織統籌資訊安全政策、計畫及資源調度等事項之協調審議,由本中心主任擔任召集人,並指定本中心同仁1名擔任管理執行小組專人。
- (二)本中心應成立管理執行小組,配合資訊安全及個人資料保護需求,研訂管理程序及安全防護準則,負責維持本中心資訊安全及個人資料保護管理系統之有效運作,並將執行成果陳報本中心管理執行小組。
- (三)本中心需依資訊安全組織訂定之規定,辦理相關資訊系統所使用資源之安全需求研議、使用管理及保護等事項。
- (四)資訊機密之維護及稽核等使用管理事項,除遵循政府機關有關規定辦理外,由本中心主任指派專人辦理。
- (五)本校員工、本校辦公場所以外之系統連線使用者及承接本校業務之廠商,應遵循本中心資訊安全管理規定。
六、 供應商管理
應依照供應商所提供之產品與服務類型,識別存取本中心資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容是否已反映本中心對資訊保護之需求。
七、 政策之發布
本政策應由管理階層定義並核准,且對所有員工及相關外部各方公布及傳達。本中心管理執行小組統籌規劃政策之溝通於年度教育訓練計畫中,透過教育訓練的方式,使內部及外部關注者全盤了解本政策。
八、 修訂
本政策應至少每年評估一次,以符合政府法令之要求,並反映資訊科技發展趨勢,確保本中心管理作業之有效性。
陸、 參考文件
- 一、 行政院及所屬各機關資訊安全管理要點_880915
- 二、 行政院國家資通安全會報 國家資通訊安全發展方案
- 三、 行政院資通安全會報 政府機關(構)資訊安全責任等級分作業施行計畫
- 四、 國家標準 CNS 27001:2013 資訊技術-安全技術-資訊安全管理系統-要求事項
- 五、 國家標準 CNS 29100:2011 資訊技術-安全技術-隱私權框架
- 六、 英國國家標準 BS 10012:2009資料保護-個人資訊管理系統
柒. 使用表單
無。