一、依據 |
|
依據個人資料保護法、國家機密保護辦法與行政院及所屬各機關資訊安全管理要點等有關法令,衡酌國家科學及技術委員會新竹科學園區管理局(以下簡稱本局)業務需求,參考行政院及所屬各機關資訊安全管理規範,研訂本局資訊安全管理規範。
|
二、目的 |
|
新竹科學園區(以下簡稱園區)成立以來,即以建設優良的投資環境,吸引高科技人才,引進高科技投資為宗旨,目標在促進台灣產業升級,經過多年的努力,園區已成為成功的科學園區典範之一。快速e化園區,建立適當的資訊安全管理系統,建置高科技產業永續經營環境,提昇效率及國際市場競爭力,以期對園區提供高品質的服務,是本局最重要的任務之一。
|
三、資訊安全之定義 |
|
建置適當的資訊安全管理系統,以保障本局資訊資產的安全。所謂資訊安全的組成包含三要素:
(一)機密性:適當保護資訊資產,讓資訊資產均為合法使用。
(二)完整性:維持資訊資產內容的正確與完整。
(三)可用性:確保資訊資產能隨時提供使用。 |
四、資訊安全之目標 |
|
建置適當的資訊安全管理系統,確保本局資訊的機密性、完整性與可用性,加強本局同仁對資訊安全的認知、提昇資訊設備及網路系統之可靠性,避免資源遭受破壞或不當使用,遇緊急危難時,能迅速作必要的應變處置,並在最短的時間內回復正常運作,以降低該事故可能帶來的損害,保障本局資訊資產的安全。
|
五、資訊安全之範圍 |
|
資訊安全之範圍共分: |
|
(一) |
資訊安全政策制定及評估 |
(二) |
資訊安全組織及權責 |
(三) |
人員安全管理及教育訓練 |
(四) |
資訊資產之安全管理 |
(五) |
實體及環境安全管理 |
(六) |
通訊安全管理 |
(七) |
系統存取控制 |
(八) |
系統發展及維護之安全管理 |
(九) |
緊急應變 |
(十) |
內部稽核 |
|
六、人員責任 |
|
(一) |
資訊安全委員會應定期檢討本政策,以確保政策內容符合業務需求。 |
(二) |
資訊安全委員會具有審核資訊安全計劃及流程的責任,來確保資訊資產受到保護。 |
(三) |
全體同仁、委外人員及簽約廠商都有責任遵循本安全政策。 |
(四) |
任何違反資訊安全的行為,都會接受適當的懲處或法律處分。 |
|
七、實施原則 |
|
資訊安全即為確保本局資訊資產的機密性、完整性與可用性,因此訂定下列實施之基本實施原則: |
|
(一) |
防止未經授權的不當存取資訊資產。 |
(二) |
防止未經授權竄改資訊資產內容。 |
(三) |
確保使用者對資訊資產使用需求可以得到滿足。 |
(四) |
確保資訊不會在傳遞的過程中暴露給未經授權的第三者。 |
(五) |
相關的資訊安全措施或規範應符合現行法令的要求。 |
(六) |
適當授與全體員工資訊安全相關訓練。 |
(七) |
同仁對其所保管的資訊及網路設備的電腦病毒有效防治負有義務及責任。 |
(八) |
建立業務永續計畫,並定期演練及修訂。 |
|
八、事件處理 |
|
(一) |
同仁發現資安事件必須立即回報本局資通安全處理小組。 |
(二) |
資通安全處理小組必須立刻依循資訊安全事件管理辦法來處理,並迅速做出適當的回應。 |
|
九、罰則 |
|
本局同仁違反資通安全政策,送本局考績委員會議處,委外簽約廠商人員則依委外合約有關條款罰則議處。 |
十、覆核 |
|
本政策內容每年由資訊安全委員會檢討,並進行必要之修訂,以確認符合本局業務需求。 |