浏览人次:
4779
资讯安全政策
壹、目的
本政策规范本校资讯安全管理制度,以确保本校管辖资讯资产之机密性、完整性、可用性及符合相关法规之要求,进而保障全校教职员工生之权益。贰、适用范围
本校员工、接触本校业务资料之外机关人员、委外服务提供厂商人员及访客。叁、名词定义
-
- 机密性(Confidentiality):使资讯不可用或不揭露给未经授权之个人、个 体或过程的性质。。
- 完整性(Integrity):保护资产的准确度(Accuracy)和完全性(Completeness)的性质。
- 可用性(Availability):经授权个体因应需求之可存取及可使用的性质。
- 资讯安全:系避免因人为疏失、蓄意或自然灾害等风险,运用系统化之控制措施,包含政策、实施、稽核、组织结构和软硬件功能等,以确保本校资讯资产受到妥善保护。
- 资讯资产:凡本校作业流程中使用之资讯资产,如内部人员、外部人员、纸本文件、电子文件、网络服务、电脑应软件、应用系统、电脑硬件、网络设备、环控系统、建筑保护设施与便利设施等皆属之。
肆、责任
本校成立「资通安全暨个人资料保护推动委员会」,负责政策之核定及监督、资讯安全预防及危机处理。
伍、管理指标
为评量资讯安全管理目标达成情形,特订定资讯安全管理指标如下:
-
-
资讯安全目标
- 本校每年无发生教职员生机敏资料外洩。
- 本校每年无发生教职员生资料遭窜改。
- 确保本校资讯网络与机房维运服务达全年上班时间97%以上之可用性,并确保因资通安全事件、异常事件、其他安全事故造成系统、主机异常而中断营运服务之情事,每年不得超过8次,每次最长不得超过8工作小时。
- 本校核心业务系统服务达全年上班时间98%以上之可用性,并确保因资通安全事件、异常事件、其他安全事故造成系统、主机异常而中断营运服务之情事,每年不得超过8次,每次最长不得超过8工作小时。
-
资讯安全管理事项
资讯安全管理范畴涵盖14项领域,避免因人为疏失、蓄意或天然灾害等因素,导致资料不当使用、洩漏、窜改、破坏等情事发生,对本校资讯机房维运及核心业务系统造成各种可能之风险及危害,各领域分述如下:- 资讯安全政策订定与评估。
- 资讯安全组织。
- 人力资源安全。
- 资产管理。
- 存取控制。
- 密码学(加密控制)。
- 实体与环境安全。
- 运作安全。
- 通讯安全。
- 系统取得,开发及维护。
- 供应者关系。
- 资讯安全事故管理。
- 营运持续管理之资讯安全层面。
- 遵循性。
-
资讯安全管理原则
- 重要之资讯资产应定期清查、分类分级与进行风险评鑑,并据以实施适当的防护措施。
- 重要资讯资产存取权限应予以区分,考量人员职务授予相关权限,必要时得采行加解密及身分鑑别机制,以加强资讯资产之安全。
- 对于资讯安全事件须有完整的通报及应变措施,以确保资讯系统、业务的持续运作。
- 应订定业务持续运作计画并定期演练,以确保重要系统、业务于资安事故发生时能于预定时间内恢复作业。
- 相关人员应依规定接受资讯安全教育训练与宣导,以加强资讯安全认知。
- 定期执行资讯安全稽核作业,检视存取权限及资讯安全管理制度之落实。
- 违反本政策与资讯安全相关规范,依相关法规或本校惩戒规定办理。
-
资讯安全目标
陆、审查
本政策应每年至少审查乙次,以反映政府法令、技术及业务等最新发展现况,并确保业务永续运作之能力。柒、实施
本政策经「资通安全暨个人资料保护推动委员会」审定,经校长核定后实施并公告,修订时亦同二阶~三阶程序书及表单 (详见 https://yduftp.ydu.edu.tw/file/ /PUBLIC/资通安全管理系统(ISMS)/YDU-ISMS程序书及表单)