v1.1

1.目的

依據行政院所屬各機關資訊安全管理要點及相關規定,規範圖書資訊服務處(以下簡稱本處)資訊安全管理制度,建立安全及可信賴之作業環境,並確保資料、系統、設備及網路安全,保障教職員生權益。

2.適用範圍

本政策適用於本處系統開發組與網路媒體組相關資訊系統與作業流程,為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本處帶來各種可能之風險及危害,應考量管理下列事項:

  1. 資訊安全政策制定及評估。
  2. 組織的資訊安全與分工。
  3. 人力資源的安全。
  4. 資產管理。
  5. 存取與密碼控制。
  6. 實體與環境安全。
  7. 業管理與通訊安全。
  8. 資訊系統取得、開發及維護。
  9. 供應商關係管理。
  10. 資訊安全事故管理。
  11. 營運持續管理。
  12. 遵循性。

3. 政策

維護本處系統開發組與網路媒體組相關資訊系統與作業流程之可用性、完整性與機密性。

4.目標

 本處依據資訊安全管理制度,現況考量,訂定年度資安目標。需制訂資源規劃、時程追蹤等項目,以利達成目標。年度資安目標如下:

  1. App應用系統開發。
  2. TLS 1.0弱點改善作業。
  3. NetBackup備份軟體改善作業。
  4. 備援機房建置。

5.原則

  1. 本處所有人員應充分了解資訊安全政策之目的及其職責。
  2. 單位主管對於資訊安全政策及相關作業規範之遵循,應負監督、執行、稽核之職責。
  3. 本處所有人員和委外廠商,均須依規定程序及指定措施辦理資訊業務,以維護本政策。
  4. 內外部網路應設置防火牆、非武裝區(DMZ)及必要之安全設施保護之,關鍵核心服務應建置適當之備援或監控機制,維持其可用性。人員個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
  5. 人員聘用以本校人事相關法規為原則。
  6. 人員存取本處資訊系統及網路設備,應授予適當的權限並定期審查,以防止不當存取行為。
  7. 本處人員持有之帳號、密碼與權限應善盡保管與使用責任,不得將自己的使用者代碼與密碼交付他人使用。
  8. 為避免電腦設備離開未登出時被盜用,電腦應設定螢幕自動鎖定。
  9. 關鍵核心服務應設置適當備份機制,維持服務正常運作。
  10. 為確保應用系統開發、測試、上線及維護之安全,應訂定相關作業管理及驗收程序。
  11. 依據控制實施有效性量測表,定期審查資通安全管理制度之有效性。
  12. 本處所有人員及提供資訊服務之廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。
  13. 任何危害資訊安全之行為人,視情節輕重追究其民事、刑事及行政責任與相關懲處。
  14. 核心服務為「ISMS-B-38業務流程衝擊分析表」之核心服務。

6.審查

本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保資訊安全管理制度實務運作之可用性、安全性及有效性。

7.實施

本政策經資訊安全管理小組召集人核定後實施,並以書面、電子郵件、公告於網站、或其他方式通知員工與本處作業之有關機關(構)及提供資訊服務之廠商,修正時亦同。

8.相關文件

ISMS-B-38業務流程衝擊分析表。