1 目的
本政策依據行政院所屬各機關資訊安全暨個資保護管理要點及相關規定,規範教育部代管退場學校學生學籍資料庫(以下簡稱「本專案」)資訊安全暨個資保護管理制度(簡稱為ISPI),以確保本專案所屬之資訊資產的機密性、完整性、可用性及符合相關法規之要求,使其免於遭受內、外部蓄意或意外之威脅。
2 適用範圍
本政策適用範圍為本專案人員、退場學校承辦人員、辦公室與實體環境、機器設備、軟/硬體、委外服務廠商與訪客等。資訊安全暨個資保護管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本專案帶來各種可能之風險及危害。
管理事項如下:
2.1 資訊安全暨個資保護政策。
2.2 資訊安全暨個資保護之組織。
2.3 人力資源安全。
2.4 資產管理。
2.5 存取控制。
2.6 密碼學。
2.7 實體及環境安全。
2.8 運作安全。
2.9 通訊安全。
2.10 系統獲取、開發及維護。
2.11 供應者關係。
2.12 資訊安全暨個資保護事故管理。
2.13 營運持續管理之資訊安全暨個資保護層面。
2.14 遵循性。
3 權責
本專案設「資訊安全暨個資保護推動管理小組」,負責本政策之核定及監督、資訊安全暨個資保護預防及危機處理,展現對資訊安全暨個資保護管理制度的領導及承諾。
4 作業要求
4.1 資訊安全暨個資保護目標。
4.2 資訊安全暨個資保護原則。
4.3 資訊安全暨個資保護政策之審查。
4.4 資訊安全暨個資保護政策之實施。
5 作業說明
5.1 資訊安全暨個資保護目標
5.1.1 機密性(Confidentiality)
任何資訊儲存在本專案系統中、系統處理中或在傳輸線上均要維持其機密性:
1、由遠端存取雲林科技大學Intranet 資訊必須要有防範機制,以防在資訊傳輸途中被不當洩漏或竊取。
2、本專案系統中,較機密的資訊(包括電子檔或紙本)亦要有適當的保護,以防非法存取。
3、稽核紀錄保有重要活動的詳細資料亦要妥善保護,僅授權予適當人員存取。
5.1.2 完整性(Integrity)
任何資料儲存在本專案系統中、系統處理中或在傳輸線上均要保護,
以防不當竄改及本專案系統在運作中被不當的操縱或入侵。
1、由遠端存取雲林科技大學Intranet 資訊必須要有防範機制,以防在資訊傳輸途中被不當竄改。
2、本專案系統中,較機密的資訊亦要有適當的保護,以防非法存取。
3、本專案系統的存取權限、威脅與脆弱點要加以控管以維持其完整性。
5.1.3 可用性(Availability)
確保資訊與系統持續運轉無誤,當合法使用者要求使用資通本專案系統時,例如:收/送電子郵件、OA 應用系統、遠端存取資訊等,使用者均可在適當的時間內獲得回應,並完成服務需求,此可用性須與前二項機密性與完整性配合一起考慮,以符合既定的目標。例如線上資訊加密或記錄稽查資料會影響系統回覆時間或引來阻斷式服務而造成無法符合可用性。
5.1.4 量化目標
1、網站可用率業務期達90%以上、非業務期達50%以上。
2、帳號權限管理未授權事件(≦0件/年) 。
3、網站首頁遭置換的次數(≦0次/年)。
4、網站發生系統資料遭竄改之資通安全事件(≦0次/年)。
5.2 資訊安全暨個資保護原則
5.2.1 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
5.2.2 資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。
5.2.3 對於資訊安全暨個資保護事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。
5.2.4 應訂定營運持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。
5.2.5 相關人員應依規定接受資訊安全暨個資保護教育訓練與宣導,以加強資訊安全暨個資保護認知。
5.2.6 定期執行資訊安全暨個資保護稽核作業,檢視存取權限及資訊安全暨個資保護管理制度之落實。
5.3 資訊安全暨個資保護政策之審查
5.3.1 資訊安全暨個資保護政策配合管理審查會議進行資訊安全暨個資保護政策審核。
5.3.2 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。
5.4 資訊安全暨個資保護政策之實施
本政策經「資訊安全暨個資保護推動管理小組」核定後實施,修訂時亦同。