壹、資訊安全政策制定
一、目的
仁山植物園(以下簡稱本園區)為強化資訊安全管理,建立可信賴之各項資訊應用系統,爰依據「行政院及所屬各機關資訊安全管理規範」、「行政院及所屬各機關資訊安全管理要點」及「個人資料保護法」之相關規定,並衡酌本園區業務需求,訂定本園區資訊安全政策。
二、範圍
本政策適用之對象為編制內、約聘僱人員、借調、委外服務廠商、所有相關資訊資產及與本園區連線作業之機關,並以書面、電子或其他方式公告週知,務期共同遵行,以確保資訊蒐集、處理、傳送、儲存及流通之安全。
三、定義
資訊安全之本質可歸為以下三類:
機密性(Confidentiality):適當的劃分資訊資產的機密等級,並依其機密等級予以適當的規範及保護。
完整性(Integrity):確保各項資訊資產的完整,以期組織能正確運用該項資產。
可用性(Availability):確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
資訊安全政策應由專人或專責單位進行維護,並由資訊安全組織定期作必要之審查及調整,以維護資訊安全政策之適切性及有效性。
貳、資訊安全政策目標
確保資訊之可用性與完整性,保障民眾使用交通運輸工具之權益。
確保資訊之機密性,保障連線機關及民眾資料之隱私權。
確保資訊之正確性,確保連線機關及民眾使用資訊系統之品質。
根據以上安全政策,另訂定各項目標以為資訊安全維護之明確指標。
一、具有常態組織綜合辦理資訊安全業務。
二、具備最新且正確的資訊資產清冊。
三、人員進用與職能劃分符合安全規定,並適當給予資訊安全教育訓練,且明確讓人員知悉資安事件之通報程序。
四、規範有形資產之保護措施、安全裝備與一般控管原則。
五、通信與資訊作業具有安全控管措施。
六、資訊存取具有明確且適當的控制程序。
七、軟體開發與維護納入安全考量。
八、組織業務之持續運作。
九、建立資通安全稽核制度及落實進行資通安全內部稽核工作,以確保本園區之資通安全。
十、確保本園區之相關委外作業須符合資通安全,並制定相關控管機制,進行委外管理。
十一、資訊作業符合政策、相關法令與規定。
參、權責
一、資訊安全組織應提供明確之指示,適時修訂本政策,以確保本政策符合現行需求。
二、本園區高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾,並適時覆核本政策。
三、人員應透過適當程序落實本政策之要求。
四、本園區編制內、約聘僱人員、借調、委外服務廠商、所有相關資訊資產及與本園區連線作業之機關,皆須遵循本政策。
五、本園區所有相關同仁皆須應透過適當回報機制,回報所發現之資訊安全事件或資訊安全弱點。
六、本園區所有同仁未遵循本政策或發生其他任何危及本園區資訊安全之行為,將訴諸適當之懲罰程序或法律行動。
七、本園區所有相關同仁皆須簽署保密協議書,並瞭解於本園區工作期間所取得之資訊均為本園區資產,不得使用於其他未授權之用途。
肆、資訊安全政策之審查及修訂
一、審查
本政策應由專人或專責單位進行維護,並由資訊安全組織定期作必要之審查及調整,以維護資訊安全政策之適切性及有效性。
二、修訂
本政策應由資訊安全組織每年定期或依本園區組織、業務或環境等因素之變迭,予以適當修訂,於核准後公告實施,以符合現況。