資訊安全政策

  1. 本署資訊安全管理制度(ISMS)資訊安全政策之目的
    1. 確保本署主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資訊安全管理規範。
    2. 確保本署業務資訊之機密性、完整性與可用性。
      1. 機密性:確保被授權之人員才可使用資訊。
      2. 完整性:確保使用之資訊正確無誤、未遭竄改。
      3. 可用性:確保被授權之人員能取得所需資訊。
  2. 依據
    1. ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)
    2. ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security controls)
    3. 行政院及所屬各機關資訊安全管理要點
    4. 行政院及所屬各機關資訊安全管理規範
    5. 國家資通訊安全發展方案(102年至105年)
    6. 建立我國資通訊基礎建設安全機制計畫
    7. 行政院國家資通安全會報之「各機關處理資通安全事件危機通報緊急應變作業注意事項」
    8. 行政院國家資通安全會報之「各政府機關(構)落實資安事件危機處理具體執行方案」
    9. 行政院國家資通安全會報之「各政府機關(構)資訊安全責任等級分級作業施行計畫」
    10. 行政院國家資通安全會報技術服務中心之「資通安全管理制度導入手冊」
    11. 行政院所屬各機關資訊業務委外服務作業參考原則
    12. 資通安全管理制度風險評估手冊
  3. 適用範圍
    1. 本署資訊安全管理制度(ISMS)所涵蓋範圍皆適用之。
    2. 資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本署帶來各種可能之風險及危害。管理事項如下:
      1. 資訊安全政策之制定及評估
      2. 資訊安全組織之職責與分工
      3. 人力資源安全
      4. 資訊資產管理
      5. 存取控制
      6. 密碼措施
      7. 實體與環境安全
      8. 作業安全
      9. 通訊安全
      10. 資訊系統獲取、開發及維護
      11. 供應商關係
      12. 資訊安全事故管理
      13. 營運持續管理之資訊安全層面
      14. 遵循性。
  4. 資訊安全政策內容
    1. 組織全景之鑑別
      1. 本署應決定與本署營運目的相關,且會影響ISMS預期成果之內部與外部議題,鑑別出與本署所提供服務相關之利害關係者,以及這些利害關係者對本署之需求與期望,並讓資訊安全長知悉以取得共識,用以客觀決定本署ISMS之範圍。
      2. 應系統化地鑑別本署之核心業務與核心業務相關之利害關係者,並判別若無法達到利害關係者之需求與期望,會對本署造成何種程度之衝擊,並將上述評估及分析結果供資訊安全長用以決策ISMS之導入及驗證範圍。
    2. 本署各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
    3. 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
    4. 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
    5. 建立主機及網路使用之管理機制,以統籌分配、運用資源。
    6. 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
    7. 建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
    8. 明確規範網路系統之使用權限,防止未經授權之存取動作。
    9. 訂定資訊安全管理制度內部稽核計畫,定期檢視本署推行資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
    10. 訂定營運持續管理規定並實際演練,確保本署業務持續運作。
    11. 本署所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。
    12. 資訊安全管理制度文件應有明確之管理規範。
    13. 委外廠商在執行本署委外業務時若有複委託之需求,應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全管理制度(ISMS)等相關規定對複委託廠商進行適當之監督與管理。
    14. 對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
    15. 應制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,要求同仁落實執行,並定期針對可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體進行風險評鑑,依據風險評鑑之結果選擇適切之控制措施,定期對同仁執行查核作業,確保使用可攜式資訊設備及儲存媒體之風險受到監控,降低機密資料外洩之風險。
    16. 應決定及建立與資訊安全管理制度(ISMS)相關的內部與外部溝通之需求及準則,內容須包含:要溝通什麼、何時溝通、和誰溝通、應是誰溝通以及應實現哪種溝通過程,確保資訊安全管理制度(ISMS)各項資安業務在內部適度的溝通與傳達,以利資訊安全管理制度(ISMS)之推動與管理。
  5. 資訊安全目標內容
    本署執行資訊安全管理需達成之資訊安全目標,詳如「ISMS-P-017資訊安全目標管理程序」之相關規定。
  6. 資訊安全責任
    1. 本署資訊安全管理委員會應建立及審查本政策。
    2. 資訊安全管理者透過適當的標準和程序以實施本政策。
    3. 所有人員與合約供應商均須依照程序以維護資訊安全政策。
    4. 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
    5. 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。
  7. 資安政策之評估與審查
    本政策應至少每年評估及審查一次,以反映政府資訊安全管理政策、法令、技術及本署業務等之最新發展現況,確保本署資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
  8. 實施
    本政策經資訊安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知本署全體及與本署連線作業之有關機關(構)、廠商,修正時亦同。