國立公共資訊圖書館 National Library of Public Information

休館日:05日;12日;15日;16日;17日;18日;26日;28日

資訊安全政策

1目的
為確保國立公共資訊圖書館系統資訊科所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並衡酌業務需求,訂定本政策。

2政策內容
確保本館「電腦機房」設備及網路安全,以避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情事,影響本館作業或損及民眾權益。

3適用範圍
3.1本政策適用範圍為內部人員、委外服務廠商與訪客等。
3.2資訊安全管理範疇涵蓋11項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,造成各種可能之風險及危害,各領域分述如下:
3.2.1資訊安全政策。
3.2.2資訊安全組織。
3.2.3人力資源安全。
3.2.4資產管理。
3.2.5存取控制。
3.2.6密碼學(加密控制)。
3.2.7實體與環境安全。
3.2.8運作安全。
3.2.9通訊安全。
3.2.10資訊系統取得、開發及維護。
3.2.11供應者關係。
3.2.12資訊安全事故管理。
3.2.13營運持續管理之資訊安全層面。
3.2.14遵循性。

4目標
為維護資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。期藉由全體同仁共同努力以達成下列目標:
4.1每年無發生密級資料外洩。
4.2每年無發生資料遭竄改。
4.3確保關鍵業務系統及資訊機房維運服務達全年上班時間96%以上之可用性,並確保:
4.3.1因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每年不得超過8次。
4.3.2因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每次最長不得超過8工作小時。

5責任
5.1應成立資訊安全組織統籌資訊安全事項推動。
5.2管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。
5.3全體人員、委外服務廠商與訪客等皆應遵守本政策。
5.4全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
5.5任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本館之相關規定進行議處。

6審查
確保「資訊安全管理系統」實務運作之可用性、安全性及有效性。本政策每年依業務變動、技術發展及風險評鑑的結果或配合政府資訊安全管理要求、法令、技術及最新業務發展現況至少評估或修訂一次。

7實施
本政策經「資訊安全委員會」核定