 |
|
||||||||||||
|
|
|
 |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3.1 | 資訊發展暨安全管理委員會 本院資訊發展暨安全管理階層決策組織。 |
|
| 3.2 | 資訊安全推動組 本院資訊室與資訊機房資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊發展暨安全管理委員會提報。 |
|
| 3.3 | 資訊室同仁、資訊系統服務使用者、委外人員 | |
| 3.3.1 | 配合資訊安全管理制度活動。 | |
| 3.3.2 | 遵守相關資訊安全管理制度規範。 | |
定義:
| 4.1 | 資訊安全 保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。 |
| 4.2 | 資訊資產 對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務與建築與保護類設施等皆屬之。 |
作業內容:
| 5.1 | 原則 | |||
| 5.1.1 | 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估,確定資訊作業安全需求,建立作業標準程序,採取適當資訊安全措施,確保資訊資產安全。 | |||
| 5.1.2 |
依人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。 |
|||
| 5.1.3 |
資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。 |
|||
| 5.1.4 |
建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理,並訂定業務持續計畫並定期演練,以確保資訊系統或服務持續運作。 |
|||
| 5.1.5 |
依據個人資料保護法與智慧財產法之相關規定,審慎處理及保護個人資訊與智慧財產權。 |
|||
| 5.1.6 |
定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。 |
|||
| 5.1.7 |
違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。 |
|||
| 5.1.8 |
為確保本院同仁皆知悉本院資訊安全要求,另訂定「ISMS-002-01資訊安全宣言」(詳附件一)告知本院同仁遵悉。 |
|||
| 5.2 | 目標 | |||
| 5.2.1 |
維持資訊室與資訊機房業務持續運作。 |
|||
| 5.2.2 |
保護資訊室與資訊機房資訊資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。 |
|||
| 5.2.3 |
建立資訊室與資訊機房之標準作業程序,避免人為作業疏失及意外,加強同仁資訊安全意識。 |
|||
| 5.2.4 |
確保達成營運量測指標 |
|||
| 5.2.4.1 | 服務可用率:99.7%(每半年) 計算方式依據服務中斷之時間,計算服務中斷時間累計之實際值(資料來源:資訊安全事故報告單),以總分鐘數減去此實際發生服務中斷之時間再除以總分鐘數即可得出之服務可用率,若大於或等於目標績效值,則達成績效指標。 |
|||
| 5.2.4.2 |
資訊系統服務議題結案完成率:95%(每半年) |
|||
| 5.2.4.2.1 |
資料申請作業於使用者規定時間內處理完畢結案之比率(資料來源:資料申請單),若大於或等於目標績效值,即達成績效指標。 |
|||
| 5.2.4.2.2 |
資訊系統設備維修作業於4小時內處理完畢結案(含先以備品替用)之比率(資料來源:資訊系統設備服務需求申請單),若大於或等於目標績效值,即達成績效指標。 |
|||
| 5.2.4.2.3 |
使用者資訊作業異常事件處理於4小時內處理完畢結案之比率(資料來源:資訊系統設備服務需求申請單),若大於或等於目標績效值,即達成績效指標。 |
|||
| 5.2.4.3 |
設備運轉使用良率:95%(每半年) |
|||
| 5.2.5 |
確保達成資訊安全管理量測指標 |
|||
| 5.2.5.1 |
資訊安全事故4級每年不得超過1件。 |
|||
| 5.2.5.2 |
資訊安全事故3級每年不得超過3件。 |
|||
| 5.2.5.3 |
資訊安全事故2級每年不得超過5件。 |
|||
| 5.2.5.4 |
資訊安全事故1級每年不得超過9件。 |
|||
| 5.2.6 |
資訊安全機密性量測指標 |
|||
| 5.2.6.1 |
每半年進行資訊機房例行性作業查核,違反作業規範不得超過3件。 |
|||
| 5.2.6.2 |
每半年進行資訊存取管制檢驗,違反資訊處置作業規範不得超過3件。 |
|||
| 5.2.7 | 資訊安全完整性量測指標 每半年進行資訊安全相關紀錄、報告、查詢資料或備份資料之檢驗,資料錯誤或是短缺不得超過3件。 |
|||
| 5.2.8 | 資訊安全符合法規量測指標 每半年進行管理制度作業檢驗,因嚴重違反本院管理規章、相關法規、個資法不得發生。 |
|||
| 5.2 | 審查 | |||
| 5.3.1 | 本政策應至少每年評估一次,以反映相關法令、技術及資訊室業務等最新發展現況,並予以適當修訂。 | |||
| 5.3.2 |
本政策經資訊發展暨安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知經資訊室所有員工及提供資訊室資訊服務之廠商,修正亦同。 |
|||
相關資料:
| 6.1 |
【ISMS-001資訊安全管理作業流程及程序】。 |
| 6.2 |
【ISMS-003資訊安全組織管理作業流程及程序】。 |
附件:
| 7.1 |
附件一、ISMS-002-01資訊安全宣言。 |
|
|
|
|
