跳到內容區
:::
回首頁
電子書
English
兒童版
網站導覽
雙語詞彙
分眾導覽
全站搜尋
進階檢索
產業訓儲替代役
替代役申請
資訊公開
Toggle navigation
關於我們
大事紀要
重大政策
業務資訊
役政法規查詢
下載服務
年度施政計畫
施政目標與重點
年度重要計畫
業務聯絡窗口
檔案應用服務專區
國家發展委員會檔案管理局
做兵ㄟ博識通
政府資訊公開
申請作業流程
役政宣導
替代役通訊
替代役之歌
宣導短片
活動集錦
電子書
專題報導
役男服務
服役須知
常見問答集
徵兵處理流程
役男服務連絡網
業務申請
體複檢醫院
就業輔導及職訓
外縣市役男代辦體檢申請
在臺初設戶籍男子兵役說明
役男權益
軍人公墓
常備役園地
新兵訓練中心
分階段常備兵役軍事訓練
法規依據
申請作業
第一年
第二年
停止訓練及結訓
洽詢專線
役男入營時程申請
役男入營時程公告
役男入營時程須知
優先入營申請須知
延緩入營申請須知
役政單位聯絡資訊
表單下載
1年期義務役專區
替代役園地
替代役基礎訓練
編組
訓練
生活安全管理
連絡資訊
交通資訊
研發替代役
替代役服役簡介
績優役男芬芳錄
各年度績優役男
兵役節績優役男事蹟
替代役勤務一覽表
各機關共同性行政工作
依需用機關分類
依役別分類
替代役公益服務
關懷輔導園地
心靈小站
關懷小站
關懷專線
業務資訊
退役日期試算
役期折抵
一般替代役薪俸查詢
替代役服勤生活影像集錦
替代役懶人包系列
替代役管理實務手冊
行政規則
法令釋義
替代役管理作業規定
替代役管理案例
網友互動
網路問卷
網路社群服務
電子報
電子報訂閱
取消訂閱
民意信箱
全站搜尋
新手上路
如何修正搜尋
進階搜尋
找不到資訊時的建議
搜尋首頁
相關聯結
全國役政單位
役政史上的今天
首頁
>
資通安全政策
資通安全政策
資料維護:役政司 更新日期:112-12-12
本單位資訊安全管理制度(ISMS)資通安全政策之目的
確保本單位主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。
確保本單位業務資訊之機密性、完整性與可用性。
機密性:確保被授權之人員才可使用資訊。
完整性:確保使用之資訊正確無誤、未遭竄改。
可用性:確保被授權之人員能取得所需資訊。
依據
資通安全管理法及其子法
個人資料保護法及其子法
ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)
ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security controls)
適用範圍
本單位資訊安全管理制度(ISMS)所涵蓋範圍皆適用之。
資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本單位帶來各種可能之風險及危害。管理事項如下:
資通安全政策之制定及評估
資訊安全組織之職責與分工
人力資源安全
資訊資產管理
存取控制
密碼措施
實體與環境安全
作業安全
通訊安全
資訊系統獲取、開發及維護
供應商關係
資通安全事故管理
營運持續管理之資訊安全層面
遵循性。
資通安全政策內容
組織全景之鑑別
本單位應決定與本單位營運目的相關,且會影響ISMS預期成果之內部與外部議題,鑑別出與本單位所提供服務相關之利害關係者,以及這些利害關係者對本單位之需求與期望,並讓資通安全長知悉以取得共識,用以客觀決定本單位ISMS之範圍。
應系統化地鑑別本單位之核心業務與核心業務相關之利害關係者,並判別若無法達到利害關係者之需求與期望,會對本單位造成何種程度之衝擊,並將上述評估及分析結果供資通安全長用以決策ISMS之導入及驗證範圍。
本單位各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
定期實施資通安全教育訓練,宣導資訊安全政策及相關實施規定。
建立主機及網路使用之管理機制,以統籌分配、運用資源。
新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
明確規範網路系統之使用權限,防止未經授權之存取動作。
訂定資訊安全管理制度內部稽核計畫,定期檢視本單位推行資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
訂定營運持續管理規定並實際演練,確保本單位業務持續運作。
本單位所有人員負有維持資通安全之責任,且應遵守相關之資通安全管理規範。
資訊安全管理制度文件應有明確之管理規範。
委外廠商在執行本單位委外業務時若有複委託之需求,應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全管理制度(ISMS)等相關規定對複委託廠商進行適當之監督與管理。
對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
應制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,要求同仁落實執行,並定期針對可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體進行風險評鑑,依據風險評鑑之結果選擇適切之控制措施,定期對同仁執行查核作業,確保使用可攜式資訊設備及儲存媒體之風險受到監控,降低機密資料外洩之風險。
組織內有效溝通
應決定及建立與資訊安全管理制度(ISMS)相關的內部與外部溝通之需求及準則(如下表所示),確保資訊安全管理制度(ISMS)各項業務在內部適度的溝通與傳達,以利資訊安全管理制度(ISMS)之推動與管理
內外部溝通
溝通時機
溝通對象
溝通內容、方式
由誰溝通
外部溝通
不定期會議、有可能造成資安事件
委外廠商
本單位資通安全政策
權責主管或資訊科
外部溝通
客訴事件發生
利害關係者
透過電話、電子郵件、書面或親自拜訪等方式,向相關人員進行處置說明,並取得諒解
權責主管或業務承辦人員
外部溝通
採購作業
相關供應商
採購作業相關事宜與資訊安全要求
權責主管或資訊科
內部溝通
每年至少一次
所有利害關係者
資通安全政策(含對內外公告)
資通安全長
內部溝通
每年管理審查會前
所有員工、相關利害關係者
管理審查相關輸入事項
資通安全長
內部溝通
每年內外稽核之後
相關人員、委外廠商
稽核缺失改善作業
權責主管或資訊科
資訊安全目標內容
本單位執行資訊安全管理需達成之資訊安全目標,詳如「ISMS-P-017資訊安全目標管理程序」之相關規定。
資訊安全責任
本單位資訊安全管理委員會應建立及審查本政策。
本單位資訊安全管理委員會應指派專人訂定、修正及實施資通安全維護計畫,每年呈報上級主管機關執行情況。
資訊安全管理者透過適當的標準和程序以實施本政策。
所有人員與合約供應商均須依照程序以維護資訊安全政策。
所有人員有責任報告安全事件,和任何已鑑別出的弱點。
任何蓄意違反資訊安全的行為將受到相關規範或法律行動。
資安政策之評估與審查
本政策應至少每年評估及審查一次,以反映政府資通安全管理政策、法令、技術及本單位業務等之最新發展現況,確保本單位資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
實施
本政策經資訊安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知本單位全體及與本單位連線作業之有關機關(構)、廠商,修正時亦同。