跳到主要內容區

資安專章

資訊安全政策宣導

台北海洋科技大學

資訊安全政策

1. 目的

為強化資訊安全管理,確保所屬資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Avaliability),使台北海洋科技大學(以下簡稱本校)之資訊業務順利運作,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,訂定「台北海洋科技大學資訊安全政策」(以下簡稱本政策),本政策內容不足的地方,應符合相關法規及標準之要求,進而保障本校全體教職員工及學生之權益。

2. 適用範圍

本校全體教職員工(含正式及約聘雇)、學生、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客。

3. 名詞定義

3.1 機密性(Confidentiality)

使資訊不可用或不揭露給未經授權之個人、個體或過程的性質,僅有獲得合法授權的使用者才可以存取資訊的性質。

3.2 完整性(Integrity)

保護資訊資產處理方法的準確度(Accuracy)和完全性(Completeness)的性質。

3.3 可用性(Availability)

確保獲得授權的使用者於有需求時能適時存取及使用相關資訊及資產的性質。

3.4 資訊安全

確保資訊的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織結構和軟硬體功能等,以確保本校資訊資產受到妥善保護。

3.5 資訊資產

凡本校作業流程中使用之資訊資產,如內部人員、外部人員、紙本文件、電子文件、網路服務、電腦應用軟體、應用系統、電腦硬體、網路設備、環控系統、建築保護設施與便利設施等皆屬之。

4. 權責

設置本校「資通安全暨個人資料保護管理執行小組」,負責政策之核定及監督、資訊安全預防及危機處理。

5. 內容

5.1 資訊安全管理系統

5.1.1 概述

本校為展現貫徹資訊安全管理的決心,確保所有資訊與資訊系統獲得適當保護,依照ISMS資訊安全管理系統標準之要求建立、記載、實施及維護資訊安全管理系統,並持續改進系統的有效性。

5.1.2 目標

(a) 使本校業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。
(b) 所儲存或傳遞之資訊採取適當之保護與防範措施。
(c) 降低發生毀損、失竊、洩漏、竄改、濫用與侵權等資通安全事件時之衝擊。
(d) 持續提升各資通服務系統所有作業之機密性、完整性與可用性。

5.1.3 目標量測方式

資訊安全管理系統目標量測方式應說明如何量測資訊安全管理系統目標之有效性,如何使用這些量測去評鑑控制措施及量測時機,產生可比較與可再製的結果,並納入「目標達成計畫與量測表」(TUMT-ISMS-D-001)量測項目中。

5.1.4 運作機制

本校依照ISMS資訊安全管理系統標準,採用"Plan-Do-Check-Act"(PDCA)之循環運作模式,建立與實施資訊安全管理系統,並維繫其有效運作與持續改進。
(a) 規劃與建立(Plan):
依據本校整體策略與目標,藉由成立資訊安全管理組織,控制潛在之威脅及漏洞,規劃風險評鑑、設計與建置控管機制,以建立資訊安全管理系統。
(b) 實施與運作(Do):
依據評估規劃之結果,建立或修正應有之管控機制。
(c) 監督與稽核(Check):
監督資訊安全管理系統各項作業之落實執行,並評估及稽核其有效性。
(d) 維護與改進(Act):
根據監督稽核之結果與建議,執行矯正措施,改善並執行應有之控管機制,以持續維護資訊安全管理系統之運作。

5.2 管理責任

5.2.1 應建立資訊安全管理組織,負責推動、協調及督導下列資訊安全管理事項:

(a) 資訊安全政策之核定、宣導及督導。
(b) 資訊安全責任之分配及協調。
(c) 宣導符合各項資訊安全目標、資訊安全政策及法律規範下之責任,以及持續改進之需求。
(d) 充分提供資源以建立、實作、運作、監視、審查、維持與改進資訊安全管理系統。
(e) 決定接受風險與可接受風險等級的準則。
(f) 資訊安全稽核計劃制定、資訊風險評估及不定期之資訊安全測試。
(g) 施行資訊安全管理系統之管理審查。
(h) 鑑別資訊安全管理系統之內外部利害關係人,考量其對本校之資訊安全需求與期望,並決定內外部所需之溝通。
(i) 資訊安全事件之檢討及監督,考量可能影響資訊安全管理系統之內外部議題。
(j) 每年實施資訊安全相關教育訓練與宣導,評估所提供資訊安全教育訓練之有效性。
(k) 其他資訊安全事項之核定。

5.2.2 管理審查

本校管理審查作業由「資通安全暨個人資料保護管理執行小組」執行,管理階層應每年執行乙次管理審查以持續確保資訊安全管理系統運作之適切、充足與有效,審查範圍包括資訊安全管理系統改進方案與變更需求之評估,審查結果應予詳實記錄並妥善保存。

5.2.3 資訊安全指標

本校應建立資訊安全指標評估資訊安全的績效及資訊安全管理制度之有效性,資訊安全指標應至少包含量測之項目、方式、時間、頻率及負責人員等資訊,以確保資訊安全指標量測之有效性。資訊安全指標應與本校資訊安全政策作適當結合。

5.2.4 資訊安全政策指導與覆核

本資訊安全政策每年至少評估內容乙次,檢討覆核與修訂,以符合內外部利害關係團體的需求與期望,確保資訊安全實務作業之有效性。

5.2.5 實施規範與法令之遵循

所有人員均須遵循此資訊安全政策,違反者須依本校相關規定予以懲處,如涉有相關刑責或法律責任者,如營業秘密法、著作權法、個人資料保護法等,將衡酌情節追訴其法律責任。

6. 修訂與公告

本政策由「資通安全暨個人資料保護管理執行小組」每年定期審議,另組織、業務、法令或實體環境等因素之變迭時,予以適當修訂。本政策經「資通安全暨個人資料保護管理執行小組」召集人核定後公布施行,修正時亦同。
瀏覽數: