資訊安全政策
一、資通安全政策
為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
(一) 落實資訊安全管理系統(Information Security Management System, ISMS)執行。
(二) 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
(三) 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
(四) 防護未經授權的修改以保護資訊及資通系統之完整性。
(五) 確保經授權之使用者當需要時能使用資訊及資通系統。
(六) 符合法令與法規要求。
(七) 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
(八) 落實資通安全教育訓練及新進人員資安宣導,以提高員工之資通安全意識。
(九) 落實委外廠商管理,以確保資通服務之安全。
(十) 落實稽核執行及管理審查流程,以確保資訊安全管理系統之持續改善。
二、資通安全目標:
(一) 量化型目標:
1.資通安全政策審查次數 ≧1 次/年。
2.資通安全教育訓練—資通安全專職人員:每人每年至少接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。
3.資通安全教育訓練—資通安全專職人員以外之資訊人員(包含業務單位資通系統管理人員、資訊單位職員工):
(1)每人每年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練。
(2)每年接受三小時以上之資通安全通識教育訓練。
4.資通安全教育訓練—一般使用者及主管:每人每年接受三小時以上之資通安全通識教育訓練。
5.電子郵件社交工程演練之郵件開啟率 < 4%/次;電子郵件社交工程演練之郵件附件點閱率 < 2%/次。
6.資訊資產清冊更新 ≧ 1 件/年;辦理風險評鑑及訂定風險處理計畫 ≧ 1 次/年。
7.資通系統之(A)應用程式、(B)資料庫,其帳號、權限管理發生未授權存取或異動事件 ≦ 2 件/年。
8.資通系統之主機(作業系統)發生未授權存取或異動事件 ≦ 2 次/年。
9.因憑證異常或過期影響資通系統運作事件 ≦ 2次/年。
10.未經授權將設備或儲存媒體攜入、攜出事件之次數 ≦ 0 次/年。
11.含有儲存媒體之所有設備組件,於汰除或再使用前未加以查證,未能確保任何敏感性資料及有版權之軟體已被移除或安全地覆寫 ≦ 0 件/年。
12.主機、資通系統、網路組態之無預警備份失敗事件,於知悉事件後未於8小時內進行處置使其繼續正常運行備份 ≦ 2次/年。
13.「(1)網路架構檢視 (2)網路惡意活動檢視 (3)使用者端電腦惡意活動檢視 (4)伺服器主機惡意活動檢視 (5)目錄伺服器設定及防火牆連線設定檢視」等防護作業每2年辦理1次。
14.網路設備、主機或資通系統發生異常故障導致無法正常提供服務事件 ≦ 3 件/年。
15.防火牆有未經授權規則(policy) ≦ 2 件/年。
16.「(1)弱點掃描 (2)滲透測試」等安全性檢測每2年辦理1次。
17.程式更版管理未授權事件 ≦ 2 件/年。
18.辦理資訊委外籌獲廠商資通安全稽核作業 ≧1次/年。
19.知悉資安事件發生後,於規定的時間完成通報、應變及復原作業的比率為100%。
20.資通系統可用性達 99.99%以上。(中斷時數/總運作時數≦0.01%)。
21.辦理營運持續計畫審視與演練 ≧1次/年。
22.辦理本機關資通安全內部稽核 ≧ 1次/年;辦理所屬機關資通安全維護計畫實施情形稽核 ≧ 1次/年。
(二) 質化型目標:
1.適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
2.達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
3.強化委外廠商之選任、監督、管理,嚴格審視委外契約,確保供應鏈關係之資通安全。
4.提升人員資安防護意識、有效偵測與預防外部攻擊等。
5.落實人員辦理業務涉及資通安全事項之獎懲機制。
6.推動跨單位資安防護整合,達成資安聯防及情資分享。
