資安政策
|
資訊安全政策
|
||
| 1. |
目的
|
|
|
1.1 確保景文科技大學(以下稱本校)之主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資訊安全管理制度(以下簡稱ISMS),以落實「資訊安全,人人有責」的觀念,建立全方位資訊安全防護措施;參酌第2章相關國際標準及法規,特訂定資訊安全政策(以下簡稱本政策)以茲遵循。
|
||
|
1.2 確保本校業務資訊之機密性、完整性與可用性。
|
||
|
1.2.1 機密性:確保被授權之人員才可使用資訊。
|
||
|
1.2.2 完整性:確保使用之資訊正確無誤、未遭竄改。
|
||
|
1.2.3 可用性:確保被授權之人員能取得所需資訊。
|
||
| 2. |
依據
|
|
|
2.1 ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)
|
||
|
2.2 ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security management)
|
||
|
2.3 資通安全管理法
|
||
|
2.4 資通安全管理法細則
|
||
|
2.5 資通安全事件通報及應變辦法
|
||
|
2.6 資通安全責任等級分級辦法
|
||
|
2.7 行政院所屬各機關資訊業務委外服務作業參考原則
|
||
|
2.8 台灣學術網路管理規範
|
||
|
2.9 教育部校園網路使用規範
|
||
|
2.10 台灣學術網路保護智慧財產權之相關措施
|
||
|
|
||
| 3. |
內容
|
|
|
3.1 本校各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
|
||
|
3.2 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
|
||
|
3.3 實施資訊安全教育訓練,宣導本政策及相關實施規定。
|
||
|
3.4 建立主機、網路及系統使用之管理機制,以統籌分配、運用資源。
|
||
|
3.5 新設備、系統建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
|
||
|
3.6 建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
|
||
|
3.7 明確規範網路、系統之使用權限,防止未經授權之存取動作。
|
||
|
3.8 訂定ISMS內部稽核計畫,定期檢視本校推行ISMS範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正措施。
|
||
|
3.9 訂定營運持續管理辦法並實際演練,確保本校業務持續運作。
|
||
|
3.10 本校所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。
|
||
|
3.11 ISMS文件應有明確之管理規範。
|
||
| 4. |
評估
|
|
|
本政策應定期進行評估,以反映政府資訊安全管理政策、法令、技術及本校業務之最新狀況,並確保本校ISMS的可行性及有效性。
|
||
| (v2.2) | ||