育達科大 資訊服務

瀏覽人次: 2886

資訊安全政策

壹、目的

本政策規範本校資訊安全管理制度,以確保本校管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求,進而保障全校教職員工生之權益

貳、適用範圍

本校員工、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客

叁、名詞定義 

    • 機密性(Confidentiality):使資訊不可用或不揭露給未經授權之個人、個 體或過程的性質。
    • 完整性(Integrity):保護資產的準確度(Accuracy)和完全性(Completeness)的性質
    • 可用性(Availability):經授權個體因應需求之可存取及可使用的性質
    • 資訊安全:係避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織結構和軟硬體功能等,以確保本校資訊資產受到妥善保護
    • 資訊資產:凡本校作業流程中使用之資訊資產,如內部人員、外部人員、紙本文件、電子文件、網路服務、電腦應軟體、應用系統、電腦硬體、網路設備、環控系統、建築保護設施與便利設施等皆屬之

肆、責任

本校成立「資通安全暨個人資料保護推動委員會」,負責政策之核定及監督、資訊安全預防及危機處理
伍、管理指標

為評量資訊安全管理目標達成情形,特訂定資訊安全管理指標如下:
    • 資訊安全目標
      1. 本校每年無發生教職員生機敏資料外洩。
      2. 本校每年無發生教職員生資料遭竄改。
      3. 確保本校資訊網路與機房維運服務達全年上班時間97%以上之可用性,並確保因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每年不得超過8次,每次最長不得超過8工作小時。
      4. 本校核心業務系統服務達全年上班時間98%以上之可用性,並確保因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每年不得超過8次,每次最長不得超過8工作小時。
    • 資訊安全管理事項
      資訊安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校資訊機房維運及核心業務系統造成各種可能之風險及危害,各領域分述如下:
      1. 資訊安全政策訂定與評估
      2. 資訊安全組織
      3. 人力資源安全
      4. 資產管理
      5. 存取控制
      6. 密碼學(加密控制)
      7. 實體與環境安全
      8. 運作安全
      9. 通訊安全。
      10. 系統取得,開發及維護。
      11. 供應者關係。
      12. 資訊安全事故管理。
      13. 營運持續管理之資訊安全層面。
      14. 遵循性。
    • 資訊安全管理原則
      1. 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施
      2. 重要資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全
      3. 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作
      4. 應訂定業務持續運作計畫並定期演練,以確保重要系統、業務於資安事故發生時能於預定時間內恢復作業
      5. 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知
      6. 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
      7. 違反本政策與資訊安全相關規範,依相關法規或本校懲戒規定辦理。

陸、審查

本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展現況,並確保業務永續運作之能力

柒、實施

本政策經「資通安全暨個人資料保護推動委員會」審定,經校長核定後實施並公告,修訂時亦同

二階~三階程序書及表單