壹、目的
臺北市家庭暴力暨性侵害防治中心(以下簡稱本中心)為強化資通安全管理,建立安全暨可信賴之社政資訊環境,確保資料、系統、設備及網路安全之完整性、可用性與機密性,以達「健全資安管理制度,確保業務永續營運」之目標,特訂定本資通安全政策(以下簡稱本政策)。
貳、適用範圍
本政策適用於本中心所有同仁。
參、名詞定義
一、資通安全
指防止資通系統或資訊遭到未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
二、可用性(Availability)
確保各項資訊資產能提供即時且正確之服務,以滿足使用者之需求。
三、完整性(Integrity)
將資訊資產依其重要性分類,並提供適當保護以確保資訊資產之完整性。
四、機密性(Confidentiality)
適當劃分資料之機密等級,並依其機密等級核予以適當規範及保護。
五、資訊安全管理系統(Information security management system;簡稱ISMS)
指國際標準ISO 27001或中華民國國家標準CNS 27001所制定為建立、實作、維持及持續改善資訊安全之相關要求事項。
肆、權責
一、本中心所有同仁、各連線使用單位、簽約廠商及委外廠商皆應遵行資訊安全管理系統之安全政策、程序、辦法。
二、本中心所有同仁皆負有通報所發現之資通安全事件或資通安全弱點之責任。
三、本中心所有同仁執行各項資訊作業時,依「資通安全管理法」、「資通安全管理法子法」、「個人資料保護法」及本府資訊局所制訂相關作業要求等相關法令規定辦理,並遵守本中心各項規範及與第三方簽訂之契約。
四、本中心同仁違反資通安全規定者,依「公務員懲戒法」、「國家機密保護法」、「個人資料保護法」、「著作權法」、「刑法」,應予移送司法機關調查;若有涉及國家賠償事件者,依「國家賠償法」等相關法律追究損害賠償責任。非本中心人員違反資通安全規定時,亦應依相關法律規定追究民、刑事責任。
伍、要求事項
一、資通安全政策之依據
本政策係依據「資通安全管理法」等有關法令及規定,並考量本中心業務需求,訂定資通安全政策及相關標準作業程序,以建立資通安全機制、強化資通安全防護,提昇資通安全之水準。
二、資通安全組織之成立
本中心「資通安全組織」,負責落實本政策、推動和督導本中心執行資通安全預防、危機通報、緊急應變處理等工作。
三、管理階層之意向
本中心高階管理階層應積極參與資訊安全管理系統(ISMS)之相關活動,並適時對ISMS的活動表達承諾及推動的意願。
四、資通安全政策之修訂
本政策之內容應每年定期召開會議或以書面方式評估檢討。
五、資通系統之安全要求
(一)建立資通安全風險評鑑管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
(二)應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
(三)強化核心資通系統之韌性,以確保機關業務能持續營運。
(四)因應資通安全威脅情勢變化並依循「資通安全責任等級分級辦法」之規定,辦理資通安全教育訓練,以提高同仁之資通安全意識,同仁亦應確實配合並參與訓練。
(五)針對辦理資通安全業務有功人員應進行獎勵。
(六)勿開啟來路不明或無法明確辨識寄件人之電子郵件。
(七)禁止多名使用者共用單一資通系統帳號。
(八)透過稽核活動持續改善並精進資訊安全管理系統。
陸、參考資料
一、「資通安全管理法」
二、「CNS 27001:2013資訊技術-安全技術-資訊安全管理系統-要求事項」
柒、相關文件
無