- 資通安全目標
資通安全目標是防範組織之營運不受資安事件衝擊,要達到下列要點:- 機密性(Confidentiality):只有經授權人員可取閱資訊。
對機密性資訊(例如儲存在本院資訊系統中的機密資訊)的處理過程或線上傳輸時均維持其機密性,避免遭受不合法存取:- 由遠端存取本院 INTRANET 資訊必須要有防範機制,以防在資訊傳輸途中被不當竊取。
- 院內的機密資訊非經授權(包括電子檔或紙本)亦要有適當的保護,以防非法存取。
- 保有重要活動的詳細資料的稽核紀錄,僅能讓經過授權人員存取。
- 完整性(Integrity):資訊或系統維持正確與完整。
任何資料儲存在本院資訊系統中、資訊系統在處理中或在傳輸途中均要保護,以防不當竄改及資訊系統在運作中被不當的操作而入侵。- 由遠端存取本院 Internet 資訊必須要有防範機制,以防在資訊傳輸途中被不當竄改。
- 本院內部資訊系統中,機密的資訊亦要有適當的保護,以防非法竄改。
- 資訊系統的存取權限、威脅與脆弱點要加以控管以維持其完整性。
- 可用性(Availability):資訊或系統需要時,即可取用。
確保資訊與系統持續運轉無誤,當合法使用者要求使用資訊系統時(例如:收/送電子郵件、 OA 應用系統、遠端存取資訊等),使用者均可在適當的時間內獲得回應,並完成服務需求,「可用性」需與「機密性」與「完整性」配合一起考慮,以符合既定的目標。 - 法規遵循性:執行各項資通安全作業及活動時,均能檢視、確認符合相關政府法規對本院的要求。
當管理者與獲授權者於使用本院所提供之資料時,均能符合政府法規的要求,如資通安全管理法及其相關子法、個人資料保護法、著作權法等。
- 機密性(Confidentiality):只有經授權人員可取閱資訊。
- 資安聲明
以簡單、容易記憶且符合資通安全管理目標為原則,訂定本院資通安全政策聲明為:
「資通安全,人人有責」
「保護自己,尊重他人」
- 確保使用者只有經過正確授權,才能存取被授權範圍的相關資訊:在資訊處理、傳輸、儲存過中不會洩漏。
- 避免資訊及系統被無意、惡意的竄改或變更。
- 在使用資訊時,獲得授權的使用者,都能正常無誤的使用。
- 智慧財產權及個人資料都能得到妥適的保護,避免不當的使用。
- 個人資料之蒐集及運用
- 將依個人資料保護法及相關法令之規定,只就其特定目的,做為承辦所提供服務之用,不會任意對其他第三者揭露。
- 使用本網站時,本網站將自動收集下列資訊:日期和時間、您所擷取之網頁、您所在之網址、您的瀏覽器種類、您對本網站頁所做行動(如下載等)及成功與否,這些資訊可能被用來改善本網站之效能。
- 監測對本網站造成重大負荷的網址上的行為。
- 資訊安全權責與教育訓練
- 對處理敏感性、機密性資料之人員及因工作需要須賦於系統管理權限之人員,妥適分工,分散權責並建立評估及考核制度,及視需要建立人員相互支援制度。
- 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
- 針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
- 資訊安全作業與保護
- 建立處理資訊安全事件之作業程序,並課予相關人員必要的責任,以便迅速有效處理資訊安全事件。
- 建立資訊設施及系統的變更管理通報機制,以免造成系統安全上的漏洞。
- 依據電腦處理個人資料保護法之相關規定,審慎處理及保護個人資訊。
- 建立系統備援設施,定期執行必要的資料、軟體備份及備援作業,以便發生災害或儲存媒體失效時,可迅速回復正常作業。
- 網路安全管理
- 設置網路設備前,須確認作業系統已安裝所必要之修補程式、僅啟用必要之網路服務、及更改預設之密碼。
- 機密性資料及文件,不得透過公眾網路或無線網路以電子郵件或其他電子方式傳送。但基於業務需要,經以適當加密或電子簽章等安全技術處理者,不在此限。
- 定期對內部網路資訊安全設施與防毒進行查核,並更新防毒系統之病毒碼,及各項安全措施。
- 系統存取控制管理
- 確保本院資訊系統的存取權限經適當的授權及維護,以防止資訊系統中的資訊遭未經授權的存取。
- 提供資訊服務存取所需之作業相關資訊系統與網路,包括作業平台、資料庫、應用系統、網路、交換機及各種網路設備等。
