國立新化高工 資通安全政策
壹、修訂紀錄
| 版次 | 修訂日期 | 修訂頁次 | 修訂者 | 修訂內容摘要 |
|---|---|---|---|---|
| 1.0 | 108.10.01 | 文管人員 | 初版 | |
| 1.1 | 110.03.18 | 文管人員 | 1.1版 |
貳、目的
為確保國立新化高級工業職業學校(以下簡稱「本校」)所屬之資訊資產的 機密性、完整性及可用性,以符合相關法令、法規之要求, 使其免於遭受內、外部蓄意或意外之威脅,並衡酌本校之業務需求,訂定本政策。
參、適用範圍
- 本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。
- 資訊安全管理範疇涵蓋 14 項領域,避免因人為疏失、蓄意或天然災害等因素, 導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校造成各種可能之風險及危害, 各領域分述如下:
- 資訊安全政策。
- 資訊安全之組織。
- 人力資源安全。
- 資產管理。
- 存取控制。
- 密碼學。
- 實體及環境安全。
- 運作安全。
- 通訊安全。
- 系統獲取、開發及維護。
- 供應者關係。
- 資訊安全事故管理。
- 營運持續管理之資訊安全層面。
- 遵循性。
肆、目標
為維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全, 期藉由本政策之實施以達成下列目標:
- 保護本校業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
- 保護本校業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
- 建立本校業務永續運作計畫,以確保本校業務服務之持續運作。
- 確保本校各項業務服務之執行須符合相關法令或法規之要求。
伍、權責
- 本校應成立資訊安全組織統籌資訊安全事項推動。
- 管理階層應積極參與、支持及承諾持續改善資訊安全管理制度,並透過適當的標準和程序以實施本政策。
- 本校全體人員、委外服務廠商與訪客等皆應遵守本政策。
- 本校全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
- 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行議處。
陸、管理指標
為評量資訊安全管理目標達成情形,特訂定資訊安全管理指標如下:
一、定量化指標
- 確保本中心資訊服務可用性之要求如下:
- 資訊機房維運服務達全年服務時間 95% 以上。
- 關鍵業務系統服務達全年服務時間 95% 以上。
- 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事, 每年不得超過次數如下:
- 資訊機房維運服務中斷,每季不得超過 2 次。
- 關鍵業務系統服務中斷,每季不得超過 2 次。
- 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事, 每次最長不得超過工作小時要求如下:
- 資訊機房維運服務中斷,每次最長不得超過 8 工作小時。
- 關鍵業務系統服務中斷,每次最長不得超過 8 工作小時。
柒、審查
- 本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展情況,確保本校業務永續運作之能力。
捌、實施
- 本政策經「資訊安全委員會」核定後實施,修訂時亦同。