桃園市政府客家事務局 資訊安全政策 (生效日期:113年5月22日)
壹、 目的
桃園市政府客家事務局(以下簡稱本局)為確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,建立資訊安全管理體系,訂定「資訊安全政策」(以下簡稱本政策),本政策未規定事項則依相關法規辦理,以達資訊之機密性、完整性及可用性。
貳、 依據
本政策係依據下列法規及標準訂定:
一、資通安全管理法。
二、資通安全管理法施行細則。
三、資通安全責任等級分級辦法。
四、資通安全事件通報及應變辦法。
五、資通安全情資分享辦法。
六、公務機關所屬人員資通安全事項獎懲辦法。
七、ISO 27001:2022(資訊安全、網宇安全及隱私保護-資訊安全管理系統)。
參、目標
為使本局業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confentiality)、完整性(Integrity)及可用性(Availability),特制訂本局目標如下,供全體同仁共同遵循:
一、遵循資訊安全相關法規,持續維護本局資訊安全管理制度。
二、保護資通系統避免受到未被授權之存取,以確保機敏資訊之機密性。
三、防護未經授權之修改,以保護資訊及資通系統之完整性。
四、確保經授權使用者得於需要時使用資訊及資通系統,以維持資通服務之可用性。
肆、內容
一、 本局依據可能影響資訊安全之內外部議題,及關注方對資訊安全之要求事項,擬定完整資訊安全管理制度。
二、本局各項資訊安全管理規定應遵守政府相關法規(例如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
三、資訊安全政策應定期進行評估,以反映政府資訊安全管理政策、法令、技術、關注方等需要及期望、內外部議題及本局業務之最新狀況,並確保本局資訊安全實務作業之可行性及有效性。
四、本局全體人員及委外廠商負有維持資訊安全之責任,並應遵守相關資訊安全管理規定。
五、由「資通安全推動組織」負責資訊安全制度及文件之建立及推動事宜。
六、定期實施資通安全教育訓練,宣導資訊安全政策及相關實施規定。
七、建立機房實體及環境安全防護措施,並定期予以保養。
八、建立資訊硬體設施及軟體之管理及風險評鑑機制,以統籌分配及有效運用資源。
九、明確規範資通系統及網路服務之使用權限,防止未經授權之存取行為。
十、新建置資通系統應納入資訊安全因素,防範危害系統安全之情況發生。
十一、訂定資訊安全之營運持續計畫並實際演練,確保本局業務持續運作。
十二、訂定資訊安全之內部稽核計畫,定期檢視個人電腦使用情形及資訊安全制度落實情形,並透過矯正管理持續增進資訊安全管理系統之有效性,提升資通安全事件發生應變能力。
伍、修訂及公告
本政策由「資通安全推動組織」每年定期審議,經「資通安全推動組織」召集人核定後公布施行,修正時亦同。另組織、業務、法令或實體環境等可能影響本局資訊安全管理制度成效之因素變迭時,得適時予以修訂。
本政策公告於本局官網,如有修訂應配合更新。