資訊安全政策

1 目的

確保桃園市政府教育局(以下簡稱本局)所屬之資訊資產機密性、完整性及 可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威 脅。

2 依據

2.1 ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements).

2.2 ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security management).

2.3 CNS27001:2014.

2.4 行政院國家資通安全會報之「國家資通安全通報應變作業綱要」。

2.5 行政院國家資通安全會報之「政府機關(構)資通安全責任等級分級作 業規定」。

3 適用範圍

3.1 本政策資訊安全管理涵蓋 14 項管理事項,避免因人為疏失、蓄意或天 然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對 本局帶來各種可能之風險及危害。

3.2 本政策所含資訊安全管理事項如下:

3.2.1 資訊安全政策。

3.2.2 資訊安全之組織。

3.2.3 人力資源安全。

3.2.4 資產管理。

3.2.5 存取控制。

3.2.6 密碼式控制措施。

3.2.7 實體與環境安全。

3.2.8 運作安全。

3.2.9 通訊安全。

3.2.10 系統獲取、開發與維護。

3.2.11 供應者關係。

3.2.12 資訊安全事故管理。

3.2.13 營運持續管理之資訊安全層面。

3.2.14 遵循性。

4 本政策適用於本局人員(含委外人員)與訪客皆應遵守本政策目標,維護本局 資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。 由全體同仁共同努力來達成下列目標:

4.1 保護本局業務活動資訊,避免未經授權的存取。

4.2 保護本局業務活動資訊,避免未經授權的修改,確保其正確完整。

4.3 建立資訊業務永續運作計畫,確保本局業務活動之持續運作。

4.4 本局之業務活動執行須符合相關法令或法規之要求。

5 責任

5.1 本局的管理階層建立及審查此政策。

5.2 資訊安全管理者透過適當的標準和程序以實施此政策。

5.3 所有人員均須依照程序以維護資訊安全政策。

5.4 所有人員有責任報告資訊安全事件,和任何已鑑別出的弱點。

5.5 任何蓄意去危及資訊安全的行為將受到相關懲罰或法律行動。

6 審查

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況, 以確保它對於維持永續運作和提供學術網路相關服務的能力。

7 實施

7.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。

7.2 本政策經「資訊安全委員會」審查,並由資訊安全委員會召集人核定後 實施,修訂時亦同。