為貫徹執行本府資通安全管理系統、確保其運作有效性並持續監督管理,以維護重要資通系統之機密性、完整性與可用性,特訂定資通安全管理政策。 本政策旨在提供同仁資通作業之明確指導原則,所有同仁皆有義務積極參與推動,以確保本府之資料、資通系統、設備及網路安全維運,達持續營運的目標。 1.1落實資通安全,強化服務品質 全體同仁應落實執行資通安全管理系統之所有資通作業相關措施,確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,而遭受洩密、破壞或遺失等風險,應選擇適切的保護措施,將風險降至可接受程度並持續進行監控、審查及稽核,以強化服務品質,提升服務水準。 1.2加強資安訓練,確保持續營運 應因應資通安全威脅情勢變化,每年持續進行適當的資通安全教育訓練,以提高同仁之資通安全意識,同仁亦應確實參與訓練,建立同仁「資通安全,人人有責」的觀念,促使同仁了解資通安全重要性,遵守資通安全規定,提高資通安全緊急應變能力,降低資通安全風險,達持續營運之目標。 1.3做好緊急應變,迅速災害復原 應訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資通系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。
3.1 本府管理階層負責建立及審查資通安全管理政策。 3.2 資通安全管理者應透過適當的標準和程序推動資通安全管理政策。 3.3 所有人員與委外服務廠商皆應遵守相關安全管理程序以維護資通安全管理政策。 3.4 所有人員與委外服務廠商均有責任通報資通安全事件和任何已鑑別出的弱點。 3.5 任何蓄意違反資通安全的行為將受到相關規範或法律行動。
