按Enter到主內容區
:::
現在位置 首頁 > 資訊安全政策
  • 友善列印
  • 回上一頁

資訊安全政策

  • 最後異動時間: 2019-10-20
  • 發布單位: 臺中市政府社會局

一、目的:
本局為確保主要輔助資通系統、系統資料、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資通安全管理體系,故訂定本資通安全政策。本政策未規定事項依政府其他相關資通安全法規辦理,以符合資通系統之機密性、完整性、可用性與法律遵循性,藉以降低資訊風險。

二、依據:
(一)資通安全管理法
(二)資通安全管理法施行細則及其子法
(三)ISO/IEC 27001:2013(Information technology — Security techniques — Information security management systems — Requirements)
(四)CNS 27001
(五)ISO/IEC 27002:2013(Information technology — Security techniques — Code of practice for information security management)
(六)行政院及所屬各機關資通安全管理要點
(七)行政院及所屬各機關資通安全管理規範
(八)國家資通訊安全發展方案106-109年
(九)臺中市政府資通安全政策
(十)臺中市政府社會局資訊規劃及資訊安全推動小組設置要點

三、政策聲明:
(一)為確保資訊系統安全及建立可信賴之環境,相關使用者需經過正常程序之申請授權,方能閱讀或存取授權範圍內之機敏資訊,期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用,及避免資訊與系統被無意或惡意之竄改或變更,並確保智慧財產權及個人資料都能得到妥適的保護,避免不當的使用。
(二)對於個人資料之蒐集及運用,將依相關法令之規定,僅就其特定目的之用,不會恣意對其他第三者揭露。
(三)以簡單且容易記憶並符合資訊安全管理目標為原則,訂定資訊安全政策聲明兩大方向:
    1.確保資訊系統運作環境安全無虞,並強化資訊安全管理,提供優質服務。
    2.機密資料保護好,完整正確不可少,持續服務為首要,養成習慣沒煩惱。

四、目標:
(一)依據資通安全管理標準ISO/IEC 27001:2013驗證之精神與要求,建置與累積導入資通安全管理系統(Information Security Management System,ISMS)經驗與能力,作為本局推廣資通安全系統建置之基礎準則。
(二)確保本局相關資訊系統之資料的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),以達正常持續運作之目標。
(三)依據 PDCA(Plan、Do、Check、Action)流程模式,以循序漸進及週而復始的精神,確保本局主要輔助資訊業務運作之有效性與持續性,並訂立資訊安全目標量測機制,期能不斷精進。

五、適用範圍:
ISMS管理範圍以本局主要輔助資通系統之維運、及作業等相關資訊活動及參與人員為主要管理標的。

六、作業流程執行與要求:
(一)法律要求:遵守資通安全管理法及相關子法規定,實施相關作業規定。
(二)高層支持推動資訊安全管理,必須由高層主管支持與參與。
(三)政策先行列出優先實施範圍,逐步推廣與落實。
(四)全體共識充分了解資訊安全管理制度的重要性,建立使命感。
(五)教育訓練適度資訊安全教育訓練,加強資通安全管理觀念與技能。
(六)定期稽核透過稽核程序,發現資訊安全問題,提出改善建議,降低資安風險。
(七)適時改善發生資通安全問題,即時研商對策,謀求改善機制,健全資通安全管理制度。
(八)電腦病毒及惡意程式之防範
    1.事前預防及保護措施,防制及偵測電腦病毒及惡意程式侵入。
    2.建立個人電腦使用規範及適當宣導,促使同仁正確認知電腦病毒的威脅並提升資訊安全警覺。
(九)重要資訊備份
    1.正確及完整的重要備份資料,除存放在主要的作業場所外,應另外存放在不同的安全場所,以防止主要作業場所發生災害時可能帶來的傷害。
    2.不定期測試重要備份資料,以確保可用性與完整性。
    3.重要資料的保存時間,以及檔案的保存需求,由資料擁有者研提及控管。
(十)資訊交換
    1.資訊資料交換應有妥善安全措施,以防止資料遭破壞、誤用或未經授權存取。
    2.確保傳送過程中之實體媒體安全,不受未經授權的存取、誤用或毀損。
(十一)營運資訊保護使用辦公室電子設備(含影印機與傳真機),應注意資訊安全;產出機敏性文件時,應全程監看並於產出成後妥善收存。
(十二)存取控制
    1.訂定系統存取授權規定,並告知使用者相關之權限及責任。
    2.人員異動或職務調整時,應依系統存取授權規定,限期調整其權限。
    3.強化使用者通行密碼管理並定期更新。
    4.使用機敏性媒體應於離開座位時放置安全處所,避免未授權者取閱;電腦設施亦應設置螢幕保護機制並設定密碼保護,於離開操作後限定時間內執行。
    5.辦公桌面、可攜式電腦及個人電腦螢幕應保持淨空,不置放機敏性文件。
(十三)電腦網路的使用
    1.被授權的電腦網路使用者,只能在授權範圍內存取電腦網路資源。
    2.訂定電子郵件使用規定,機敏性資料不宜以電子郵件方式傳送。
(十四)行動式電腦作業與通訊及遠距工作禁止未經授權之遠端連線方式存取本局資訊資產。

  • 市府分類: 資訊管理
  • 發布日期: 2019-10-20
  • 點閱次數: 126