跳到主要內容區塊
Search
mobilemenu
資訊安全政策
    :::
    資訊安全政策
      日期:113-09-20       

      目的

       內政部國家公園署墾丁國家公園管理處(以下簡稱本處)為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),以提供本處資訊服務持續運作之環境,並符合相關法規要求,特訂定本政策。

      適用範圍

      • 本處所有單位。

      • 資訊安全管理涵蓋4類控制措施、93項管理事項:

        • 組織控制措施:

          • 資訊安全政策。
          • 資訊安全之角色及責任。
          • 職務區隔。
          • 管理階層責任。
          • 與權責機關之聯繫。
          • 與特殊關注群組之聯繫。
          • 情資威脅。
          • 專案管理之資訊安全。
          • 資訊及其他相關資產之清冊。
          • 可接受使用資訊及其他相關聯資產。
          • 資產之歸還。
          • 資產之分類分級。
          • 資訊之標示。
          • 資訊傳送。
          • 存取控制。
          • 身分管理。
          • 鑑別資料。
          • 存取權限。
          • 供應者關係中之資訊安全。
          • 於供應者協議中闡明資訊安全。
          • 管理ICT供應鏈中之資訊安全。
          • 供應者服務之監視、審查及變更管理。
          • 使用雲端服務之資訊安全。
          • 資訊安全事故管理規劃及準備。
          • 資訊之評鑑及決策。
          • 對資訊安全事故之回應。
          • 由資訊安全事故中學習。
          • 證據之蒐集。
          • 中斷期間之資訊安全。
          • 營運持續之ICT備妥性。
          • 法律、法令、法規之契約要求事項。
          • 智慧財產權。
          • 紀錄之保護。
          • 隱私及個人可識別資訊(PII)保護。
          • 資訊安全之獨立審查。
          • 資訊安全政策、規則及標準的遵循性。
          • 書面紀錄之運作程序。
        • 人員控制措施:

          • 篩選。
          • 聘用條款及條件。
          • 資訊安全認知、教育和訓練。
          • 獎懲過程。
          • 聘用終止或變更後之責任。
          • 機密性或保密協議。
          • 遠端工作。
          • 資訊安全事件通報。
        • 實體控制措施:

          • 實體安全周界。
          • 實體進入。
          • 保全辦公室、房間及設施。
          • 實體安全監視。
          • 防範實體及環境威脅。
          • 於安全區域內工作。
          • 桌面淨空及螢幕淨空。
          • 設備安置及保護。
          • 場所外資產之安全。
          • 儲存媒體。
          • 支援公用服務事業。
          • 佈纜安全。
          • 設備維護。
          • 設備汰除或重新使用之保全。
        • 技術控制措施:

          • 使用者終端設備。
          • 特殊存取權限。
          • 資訊存取限制。
          • 對原始碼之存取。
          • 安全識別。
          • 容量管理。
          • 防惡意軟體。
          • 技術脆弱性管理。
          • 組態管理。
          • 資料刪除。
          • 資料遮蔽。
          • 資料洩漏預防。
          • 資料備份。
          • 資訊處理設施之備援。
          • 日誌紀錄。
          • 監視活動。
          • 鐘訊同步。
          • 具特殊權限共用程式之使用。
          • 對運作中系統之軟體安裝。
          • 網路安全。
          • 網路服務的安全性。
          • 網路區隔。
          • 網頁過濾。
          • 加密技術之使用。
          • 開發生命週期之安全。
          • 應用程式安全要求。
          • 安全系統架構及工程原則。
          • 安全程式設計。
          • 開發和驗收中的安全測試。
          • 委外開發。
          • 開發、測試及運作環境之區隔。
          • 變更管理。
          • 測試資訊。
          • 在稽核測試期間的資訊系統保護。

      權責

      • 資訊安全推動小組

        • 建立及審核此政策並透過適當的標準和程序實施此政策。

      名詞定義

      • 資訊資產:係指為維持本處資訊業務正常運作之硬體、軟體、通訊、資料、服務、文件及人員。

      • 營運持續運作之環境:係指為維持本處各項資訊業務正常運作所需之作業環境。

      作業說明

      • 資訊安全政策

        • 為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

          • 應因應資通安全威脅情勢變化,本處同仁應參與資通安全教育訓練,以提高資通安全意識。
          • 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
          • 定期進行內部稽核,確保相關作業皆能確實落實。
        • 資訊安全目標

          • 本處同仁每年皆完成 3 小時資通安全教育訓練。
          • 提升資訊安全管理之有效性與即時性(風險評鑑次數≧1次/年)。
          • 前次內部稽核發現事項,未完成改善之件數應≦2 件。
        • 責任

          • 本處員工及與本處往來之外部單位、廠商及第三方人員等,皆需遵守本處資訊安全相關制度及規範,如有違反者,必須自行承擔所有引發的風險及責任。
          • 所有人員於知悉任何危及資訊安全之事件或風險時,皆需依程序進行通報。
          • 因故意或過失之行為,危害本處資訊安全者,將視情節輕重追究其民事、刑事及行政責任。
        • 審查

          • 定期:1次,以反映法規、技術及業務等最新發展現況。
          • 不定期:當本處面臨下列狀況時,應針對資訊安全政策進行檢討與審查。
            • 本處營運策略發生重大變更。
            • 資訊安全管理委員會召集人異動。
            • 發生重大資訊安全事件。
        • 實施

          • 本政策發行、修訂與廢止需經資訊安全推動小組召集人(資安長)進行審核後以適當方式公告實施。

       

      openmenu closemenu