– 資訊安全風險管理
- 監管執行單位 :資訊部
- 權責層級 :資訊部最高主管
一、目的
為確保本機構資訊資產之機密性、完整性與可用性,保障業務運作穩定及使用者權益,特訂定本資訊安全政策,作為資訊安全管理與實施之依據。
二、適用範圍
本政策適用於本機構內所有員工、約聘人員、合作廠商及任何使用本機構資訊系統與資產之人員。
三、政策原則
-
機密性(Confidentiality)
資訊僅限授權人員存取,避免未經授權之揭露、洩漏或外洩。 -
完整性(Integrity)
確保資訊在傳輸與儲存過程中未被未授權修改或破壞。 -
可用性(Availability)
授權人員可於所需時間內存取所需資訊與系統,確保業務不中斷。 -
最小權限原則(Least Privilege)
所有使用者應僅獲得其職責所需的最低限度存取權限。 -
存取控制
對所有系統與資料進行身分驗證與權限控管,避免未授權存取。 -
資安教育訓練
定期辦理員工資安意識與應變訓練,提升整體資訊安全防護能力。 -
資安事件通報與應變
建立通報機制與應變程序,於發生資安事件時能即時應對與處置。 -
第三方管理
對外包廠商與合作單位實施資訊安全評估,並簽署相關資安合約。 -
系統維護與更新
定期更新作業系統與應用軟體,修補已知資安漏洞。 -
監督與稽核
建立資安稽核制度,定期檢視政策執行情況,持續改善資安管理。
四、責任與權責
-
資訊安全長(CISO)或指定主管單位:負責資訊安全政策推動、管理與執行。
-
各部門主管:負責督導所屬人員遵守本政策。
-
全體使用者:應了解並遵守資訊安全相關規範,保護機構資訊資產。
五、違規處理
違反本政策者,依情節輕重依本機構相關人事規章或法律規定處理,並可能終止資訊資源使用權限。
六、政策修訂
本政策應視法規變動、技術演進與營運需求,定期檢討與修訂,以確保其有效性與適用性。
