育達科大 資訊服務

壹、目的

本政策規範本校資訊安全管理制度，以確保本校管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求，進而保障全校教職員工生之權益。

貳、適用範圍

本校員工、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客。

叁、名詞定義

• 機密性（Confidentiality）： 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
• 完整性（Integrity）： 保護資產的準確度（Accuracy）和完全性（Completeness）的性質。
• 可用性（Availability）： 經授權個體因應需求之可存取及可使用的性質。
• 資訊安全： 避免因人為疏失、蓄意或自然災害等風險，運用系統化之控制措施，以確保本校資訊資產受到妥善保護。
• 資訊資產： 凡本校作業流程中使用之資訊資產，如內外部人員、文件、電子資料、系統、設備、設施等皆屬之。

肆、責任

本校成立「資通安全暨個人資料保護推動委員會」，負責政策之核定及監督、資訊安全預防及危機處理。

伍、管理指標

為評量資訊安全管理目標達成情形，特訂定資訊安全管理指標如下：

資訊安全目標

1. 本校每年無發生教職員生機敏資料外洩。
2. 本校每年無發生教職員生資料遭竄改。
3. 確保本校資訊網路與機房維運服務達全年上班時間97%以上之可用性，每年中斷不得超過8次，每次最長不得超過8工作小時。
4. 本校核心業務系統服務達全年上班時間98%以上之可用性，每年中斷不得超過8次，每次最長不得超過8工作小時。

資訊安全管理事項

資訊安全管理範疇涵蓋14項領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校資訊機房維運及核心業務系統造成各種可能之風險及危害，各領域分述如下：

1. 資訊安全政策訂定與評估
2. 資訊安全組織
3. 人力資源安全
4. 資產管理
5. 存取控制
6. 密碼學(加密控制)
7. 實體與環境安全
8. 運作安全
9. 通訊安全
10. 系統取得、開發及維護
11. 供應者關係
12. 資訊安全事故管理
13. 營運持續管理之資訊安全層面
14. 遵循性

資訊安全管理原則

1. 重要之資訊資產應定期清查、分類分級與進行風險評鑑，並據以實施適當的防護措施。
2. 重要資訊資產存取權限應依職務授權，必要時採行加解密及身分鑑別機制，以加強資訊安全。
3. 資訊安全事件須有完整的通報及應變措施，確保系統與業務持續運作。
4. 應訂定業務持續運作計畫並定期演練，確保系統於資安事故發生時能於預定時間內恢復作業。
5. 相關人員應依規定接受資訊安全教育訓練與宣導。
6. 定期執行資訊安全稽核，檢視制度落實情況。
7. 違反政策者依相關法規或校內規定處理。

陸、審查

本政策應每年至少審查乙次，以反映政府法令、技術及業務等最新發展，並確保業務永續運作之能力。

柒、實施

本政策經「資通安全暨個人資料保護推動委員會」審定，經校長核定後實施並公告，修訂時亦同。