育达科大 资讯服务

壹、目的

本政策规范本校资讯安全管理制度，以确保本校管辖资讯资产之机密性、完整性、可用性及符合相关法规之要求，进而保障全校教职员工生之权益。

贰、适用范围

本校员工、接触本校业务资料之外机关人员、委外服务提供厂商人员及访客。

叁、名词定义

• 机密性（Confidentiality）： 使资讯不可用或不揭露给未经授权之个人、个体或过程的性质。
• 完整性（Integrity）： 保护资产的准确度（Accuracy）和完全性（Completeness）的性质。
• 可用性（Availability）： 经授权个体因应需求之可存取及可使用的性质。
• 资讯安全： 避免因人为疏失、蓄意或自然灾害等风险，运用系统化之控制措施，以确保本校资讯资产受到妥善保护。
• 资讯资产： 凡本校作业流程中使用之资讯资产，如内外部人员、文件、电子资料、系统、设备、设施等皆属之。

肆、责任

本校成立「资通安全暨个人资料保护推动委员会」，负责政策之核定及监督、资讯安全预防及危机处理。

伍、管理指标

为评量资讯安全管理目标达成情形，特订定资讯安全管理指标如下：

资讯安全目标

1. 本校每年无发生教职员生机敏资料外洩。
2. 本校每年无发生教职员生资料遭窜改。
3. 确保本校资讯网络与机房维运服务达全年上班时间97%以上之可用性，每年中断不得超过8次，每次最长不得超过8工作小时。
4. 本校核心业务系统服务达全年上班时间98%以上之可用性，每年中断不得超过8次，每次最长不得超过8工作小时。

资讯安全管理事项

资讯安全管理范畴涵盖14项领域，避免因人为疏失、蓄意或天然灾害等因素，导致资料不当使用、洩漏、窜改、破坏等情事发生，对本校资讯机房维运及核心业务系统造成各种可能之风险及危害，各领域分述如下：

1. 资讯安全政策订定与评估
2. 资讯安全组织
3. 人力资源安全
4. 资产管理
5. 存取控制
6. 密码学(加密控制)
7. 实体与环境安全
8. 运作安全
9. 通讯安全
10. 系统取得、开发及维护
11. 供应者关系
12. 资讯安全事故管理
13. 营运持续管理之资讯安全层面
14. 遵循性

资讯安全管理原则

1. 重要之资讯资产应定期清查、分类分级与进行风险评鑑，并据以实施适当的防护措施。
2. 重要资讯资产存取权限应依职务授权，必要时采行加解密及身分鑑别机制，以加强资讯安全。
3. 资讯安全事件须有完整的通报及应变措施，确保系统与业务持续运作。
4. 应订定业务持续运作计画并定期演练，确保系统于资安事故发生时能于预定时间内恢复作业。
5. 相关人员应依规定接受资讯安全教育训练与宣导。
6. 定期执行资讯安全稽核，检视制度落实情况。
7. 违反政策者依相关法规或校内规定处理。

陆、审查

本政策应每年至少审查乙次，以反映政府法令、技术及业务等最新发展，并确保业务永续运作之能力。

柒、实施

本政策经「资通安全暨个人资料保护推动委员会」审定，经校长核定后实施并公告，修订时亦同。