跳到主要內容
選單
找書搜尋

資訊安全政策

目的

為確保國立公共資訊圖書館所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本館之業務需求,訂定本政策。

政策內容

確保本館「電腦機房」設備及網路安全,以避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情事,影響本館作業或損及民眾權益。

適用範圍

  • 本政策適用驗證範圍人員、委外服務廠商與訪客等。
  • 資訊安全管理範疇涵蓋11項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本館造成各種可能之風險及危害,各領域分述如下:
  1. 資訊安全政策。

  2. 資訊安全組織。

  3. 人力資源安全。

  4. 資產管理。

  5. 存取控制。

  6. 密碼學(加密控制)。

  7. 實體與環境安全。

  8. 運作安全。

  9. 通訊安全。

  10. 資訊系統取得、開發及維護。

  11. 供應者關係。

  12. 資訊安全事故管理。

  13. 營運持續管理之資訊安全層面。

  14. 遵循性。

目標

為維護驗證範圍資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。期藉由全體同仁共同努力以達成下列目標:

  • 每年無發生密級以上資料外洩。
  • 每年無發生資料遭竄改。
  • 確保關鍵業務系統及資訊機房維運服務達全年96%以上之可用性,並確保:
  1. 因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每年不得超過6次。
  2. 因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每次最長不得超過8小時。

責任與宣導

  1. 應成立資訊安全組織統籌資訊安全事項推動。
  2. 管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。
  3. 驗證範圍內全體人員、委外服務廠商與訪客等皆應遵守本政策。
  4. 驗證範圍內全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
  5. 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本館之相關規定進行議處。
  6. 本政策應每年透過教育訓練、內部會議、電子郵件、公告等方式,向館內所有人員進行宣導,並檢視執行成效。
  7. 應每年向利害關係人(例如IT服務供應商、與本館連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效。

審查

確保「資訊安全管理系統」實務運作之可用性、安全性及有效性。本政策與利害相關方要求事項等相關議題,每年依業務變動、技術發展及風險評鑑的結果或配合政府資訊安全管理要求、法令、技術及最新業務發展現況至少評估或修訂一次。

實施

本政策經本館「資訊安全委員會」核定後實施,修訂時亦同。

Top