v1.5

1. 目的

依據行政院所屬各機關資訊安全管理要點及相關規定,規範圖書資訊服務處(以下簡稱本處)資訊安全管理制度,建立安全及可信賴之作業環境,並確保資料、系統、設備及網路安全,保障教職員生權益。

2. 適用範圍

本政策適用於本處系統開發組與網路媒體組相關資訊系統與作業流程,為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本處帶來各種可能之風險及危害,應考量管理下列事項:

2.1資訊安全政策制定及評估。 2.2組織的資訊安全與分工。

2.3資產管理。

2.4人力資源的安全。

2.5實體與環境安全。

2.6通訊與作業管理。

2.7存取控制。

2.8資訊系統取得、開發及維護。

2.9資訊安全事故管理。

2.10 營運持續管理。

2.11 遵循性。

3. 政策

3.1 維護本處系統開發組與網路媒體組相關資訊系統與作業流程之可用性、完整性與機密性。

4. 目標

 4.1 本處執行資訊安全管理制度需達以下目標:

 4.1.1本處維運之關鍵核心服務及網路之個別可用率每年達99.5%。

4.1.2關鍵核心服務因電腦病毒造成癱瘓事件次數每年不得超過三次。

4.1.3發生3級以上重大資訊安全事件之次數,每年不得超過一次。

4.1.4資訊系統遭未經授權存取,導致機密性資訊外洩或遭篡改情形,全年0件。

4.1.5資訊系統因開發過程或營運過程中發生異常,導致影響資料之完整性者,每年不得超過一次。

5. 原則

5.1 所有員工應充分了解資通安全政策之目的及其職責。

5.2 單位主管對於資訊安全政策及相關作業規範之遵循,應負監督、執行、稽核之職責。

5.3 關鍵性業務之資訊資產應定期盤點、分類分級,針對重要資訊資產進行風險評鑑,並據以實施適當的防護措施。

5.4 本處所有人員和委外廠商,均須依規定程序及指定措施辦理資訊業務,以維護本政策。

5.5 本處所有人員及提供資訊服務之廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。

5.6 任何危害資訊安全之行為人,視情節輕重追究其民事、刑事及行政責任與相關懲處。

5.7 依據ISMS-04-045控制實施有效性量測表,定期審查資通安全管理制度之有效性。

5.8關鍵核心流程為「ISMS-04-051業務流程衝擊分析表」之「優先復原等級」為高的關鍵流程。

6. 審查

本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保維持營運和提供服務的能力。

7. 實施

本政策經資訊安全管理小組召集人核定後實施,並以書面、電子或其他方式通知員工、與本處連線作業之有關機關(構)及提供資訊服務之廠商,修正時亦同。

8. 相關文件

ISMS-04-045控制實施有效性量測表。