墾丁國家公園管理處全球資訊網

<h1>目的</h1> <p style="text-align: justify;"><span style="font-size: 13px;">&nbsp;內政部國家公園署墾丁國家公園管理處（以下簡稱本處）為使本處業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），以提供本處資訊服務持續運作之環境，並符合相關法規要求，特訂定本政策。</span></p> <h1>適用範圍</h1> <ul> <li> <h3>本處所有單位。</h3> </li> <li> <h3>資訊安全管理涵蓋4類控制措施、93項管理事項：</h3> <ul> <li> <h3>組織控制措施：</h3> <ul> <li>資訊安全政策。</li> <li>資訊安全之角色及責任。</li> <li>職務區隔。</li> <li>管理階層責任。</li> <li>與權責機關之聯繫。</li> <li>與特殊關注群組之聯繫。</li> <li>情資威脅。</li> <li>專案管理之資訊安全。</li> <li>資訊及其他相關資產之清冊。</li> <li>可接受使用資訊及其他相關聯資產。</li> <li>資產之歸還。</li> <li>資產之分類分級。</li> <li>資訊之標示。</li> <li>資訊傳送。</li> <li>存取控制。</li> <li>身分管理。</li> <li>鑑別資料。</li> <li>存取權限。</li> <li>供應者關係中之資訊安全。</li> <li>於供應者協議中闡明資訊安全。</li> <li>管理ICT供應鏈中之資訊安全。</li> <li>供應者服務之監視、審查及變更管理。</li> <li>使用雲端服務之資訊安全。</li> <li>資訊安全事故管理規劃及準備。</li> <li>資訊之評鑑及決策。</li> <li>對資訊安全事故之回應。</li> <li>由資訊安全事故中學習。</li> <li>證據之蒐集。</li> <li>中斷期間之資訊安全。</li> <li>營運持續之ICT備妥性。</li> <li>法律、法令、法規之契約要求事項。</li> <li>智慧財產權。</li> <li>紀錄之保護。</li> <li>隱私及個人可識別資訊(PII)保護。</li> <li>資訊安全之獨立審查。</li> <li>資訊安全政策、規則及標準的遵循性。</li> <li>書面紀錄之運作程序。</li> </ul> </li> <li> <h3>人員控制措施：</h3> <ul> <li>篩選。</li> <li>聘用條款及條件。</li> <li>資訊安全認知、教育和訓練。</li> <li>獎懲過程。</li> <li>聘用終止或變更後之責任。</li> <li>機密性或保密協議。</li> <li>遠端工作。</li> <li>資訊安全事件通報。</li> </ul> </li> <li value="NaN"> <h3>實體控制措施：</h3> <ul> <li value="NaN">實體安全周界。</li> <li value="NaN">實體進入。</li> <li value="NaN">保全辦公室、房間及設施。</li> <li value="NaN">實體安全監視。</li> <li value="NaN">防範實體及環境威脅。</li> <li value="NaN">於安全區域內工作。</li> <li value="NaN">桌面淨空及螢幕淨空。</li> <li value="NaN">設備安置及保護。</li> <li value="NaN">場所外資產之安全。</li> <li value="NaN">儲存媒體。</li> <li value="NaN">支援公用服務事業。</li> <li value="NaN">佈纜安全。</li> <li value="NaN">設備維護。</li> <li value="NaN">設備汰除或重新使用之保全。</li> </ul> </li> <li value="NaN"> <h3>技術控制措施：</h3> <ul> <li value="NaN">使用者終端設備。</li> <li value="NaN">特殊存取權限。</li> <li value="NaN">資訊存取限制。</li> <li value="NaN">對原始碼之存取。</li> <li value="NaN">安全識別。</li> <li value="NaN">容量管理。</li> <li value="NaN">防惡意軟體。</li> <li value="NaN">技術脆弱性管理。</li> <li value="NaN">組態管理。</li> <li value="NaN">資料刪除。</li> <li value="NaN">資料遮蔽。</li> <li value="NaN">資料洩漏預防。</li> <li value="NaN">資料備份。</li> <li value="NaN">資訊處理設施之備援。</li> <li value="NaN">日誌紀錄。</li> <li value="NaN">監視活動。</li> <li value="NaN">鐘訊同步。</li> <li value="NaN">具特殊權限共用程式之使用。</li> <li value="NaN">對運作中系統之軟體安裝。</li> <li value="NaN">網路安全。</li> <li value="NaN">網路服務的安全性。</li> <li value="NaN">網路區隔。</li> <li value="NaN">網頁過濾。</li> <li value="NaN">加密技術之使用。</li> <li value="NaN">開發生命週期之安全。</li> <li value="NaN">應用程式安全要求。</li> <li value="NaN">安全系統架構及工程原則。</li> <li value="NaN">安全程式設計。</li> <li value="NaN">開發和驗收中的安全測試。</li> <li value="NaN">委外開發。</li> <li value="NaN">開發、測試及運作環境之區隔。</li> <li value="NaN">變更管理。</li> <li value="NaN">測試資訊。</li> <li value="NaN">在稽核測試期間的資訊系統保護。</li> </ul> </li> </ul> </li> </ul> <h1>權責</h1> <ul> <li> <h3>資訊安全推動小組</h3> <ul> <li> <p>建立及審核此政策並透過適當的標準和程序實施此政策。</p> </li> </ul> </li> </ul> <h1>名詞定義</h1> <ul> <li value="1.1"> <p>資訊資產：係指為維持本處資訊業務正常運作之硬體、軟體、通訊、資料、服務、文件及人員。</p> </li> <li value="1.1">營運持續運作之環境：係指為維持本處各項資訊業務正常運作所需之作業環境。</li> </ul> <h1>作業說明</h1> <ul> <li> <h3>資訊安全政策</h3> <ul> <li> <h3>為使本處業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循：</h3> <ul> <li value="NaN">應因應資通安全威脅情勢變化，本處同仁應參與資通安全教育訓練，以提高資通安全意識。</li> <li value="NaN">應保護機敏資訊及資通系統之機密性與完整性，避免未經授權的存取與竄改。</li> <li value="NaN">定期進行內部稽核，確保相關作業皆能確實落實。</li> </ul> </li> <li value="1.1"> <h3>資訊安全目標</h3> <ul> <li value="NaN">本處同仁每年皆完成 3 小時資通安全教育訓練。</li> <li value="NaN">提升資訊安全管理之有效性與即時性(風險評鑑次數≧1次/年)。</li> <li value="NaN">前次內部稽核發現事項，未完成改善之件數應≦2 件。</li> </ul> </li> <li value="1.1"> <h3>責任</h3> <ul> <li value="NaN">本處員工及與本處往來之外部單位、廠商及第三方人員等，皆需遵守本處資訊安全相關制度及規範，如有違反者，必須自行承擔所有引發的風險及責任。</li> <li value="NaN">所有人員於知悉任何危及資訊安全之事件或風險時，皆需依程序進行通報。</li> <li value="NaN">因故意或過失之行為，危害本處資訊安全者，將視情節輕重追究其民事、刑事及行政責任。</li> </ul> </li> <li> <h3>審查</h3> <ul> <li value="NaN">定期：1次，以反映法規、技術及業務等最新發展現況。</li> <li value="NaN">不定期：當本處面臨下列狀況時，應針對資訊安全政策進行檢討與審查。 <ul> <li value="NaN">本處營運策略發生重大變更。</li> <li value="NaN">資訊安全管理委員會召集人異動。</li> <li value="NaN">發生重大資訊安全事件。</li> </ul> </li> </ul> </li> <li> <h3>實施</h3> <ul> <li>本政策發行、修訂與廢止需經資訊安全推動小組召集人(資安長)進行審核後以適當方式公告實施。</li> </ul> </li> </ul> </li> </ul> <p>&nbsp;</p>