|
|
 | |
|
| 今天 | 17-24°C |  |
| 明天 | 17-24°C | |
| 後天 | 18-23°C | |
| ... more ... |
|
|
|
 |
|
其他選項-資訊安全政策
|
:::
| 資訊安全政策 |
一、本政策係依據「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」及鈞署
「資訊安全政策」,並考量本處業務需求製定本政策。
二、陽明山國家公園管理處(以下簡稱本處)為強化資訊安全管理、確保資訊的機密性、完整性與可
用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述
資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖,特訂定本政策。
三、為統資訊安全管理等事項之協調、規劃、稽核及推動,成立跨單位之資訊安全推動組織(以下簡稱本組織),
本組織之幕僚作業,由本處資訊室負責。
四、依下列分工原則,配賦有關單位及人員權責:
(一)資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由本處資訊室負責辦理。
(二)資料及資訊系統之安全需求研議、管理及保護等事項,由本處各業務單位負責辦理。
(三)資訊機密維護及安全稽核等事項,由本處政風室會同相關單位負責辦理。
五、本政策之範圍如下,有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:
(一)人員管理及資訊安全教育訓練。
(二)電腦系統安全管理。
(三)網路安全管理。
(四)系統存取控制。
(五)系統發展及維護安全管理。
(六)資訊資產安全管理。
(七)實體及環境安全管理。
(八)業務永續運作計畫之規劃與管理。
六、人員管理及資訊安全教育訓練
(一)對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並
進行必要的考核。 各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
(二)針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知
,提升資訊安全水準。
七、電腦系統安全管理
(一)辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,
要求廠商遵守並定期考核。
(二)依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
(三)採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
(四)對各種系統變更作業,應建立控管制度,並建立紀錄,以備查考。
(五)採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入
採購規格。
八、網路安全管理
(一)開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防
火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權
之存取。
(二)與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與內部網路之資料傳輸與資源存取。
(三)利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意
之個人隱私資料及文件,不得上網公布。
(四)訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
(五)為避免網路使用者不慎違反本處相關網路安全規定,網路管理人員可考慮以相關網路技術以不干擾正常網路
使用為原則下,主動管制違反本處相關網路規定之使用者 。
九、系統存取控制
(一)訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
(二)離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調
動,應依系統存取授權規定,限期調整其權限。
(三)建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼之更新周期,最長以不超過六個
月為原則。
(四)對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責
任。
(五)建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業。
十、系統發展及維護安全管理
(一)自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新
、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
(二)對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統
辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使
用完畢後應立即取消其使用權限。
(三)委託廠商建置及維護重要之軟硬體設施,應在本處使用課室相關人員監督及陪同下始得為之。
十一、資訊資產安全管理
(一)建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
(二)依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資訊安全等級之分類標準,以
及相對應的保護措施。
(三)已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。
十二、實體及環境安全管理
就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。
十三、業務永續運作計畫之規劃與管理
(一)訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關
人員之權責,並定期演練及調整更新計畫。
(二)建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向資訊單位或人員通
報,採取反應措施,並聯繫檢警調單位協助偵查。
(三)依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。
十四、本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效
性。
十五、本資訊安全政策奉 處長核可後實施,修正時亦同。
|
|
|
|
|
更新日期:2008年7月11日 維護單位:資訊管理室
|
|
|
陽明山國家公園管理處 電話:(02) 2861-3601 傳真:(02) 2861-1504 地址:11292台北市陽明山竹子湖路1-20號
管理處辦公時間 AM8:30~PM5:00 週休二日 各遊客服務站開館時間:AM9:00~PM4:30 週一或假日隔日休館
民眾意見郵政信箱:陽明山郵政第42號信箱
處長信箱
自動傳真回函: (02) 2861-8744 最佳瀏覽建議:IE 5.0以上瀏覽器,螢幕解析度1024x768
|
|
