為維護本校電算中心及其核心業務相關資訊資產與個資之安全,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,並針對個資及隱私權保護之決心,確保本校資訊處理作業能安全有效地運作,特制訂資訊安全政策以為遵循。
1 目的
為維護明志科技大學(以下簡稱本校)核心業務資訊系統及資訊管理部門相關資訊資產之機密性、完整性、可用性及法律遵循性,以達「健全資訊安全管理制度,提供安全有效的服務,確保業務永續營運」,特制訂「資訊安全政策(以下簡稱本政策)」以茲遵循。
2 適用範圍
本政策適用於本校所有人員、維護廠商、業務往來者及使用本校提供資訊服務之使用者,凡涉及核心業務資訊系統、相關資訊資產及資訊安全管理系統所涵蓋之範圍者,皆有責任實施及配合本政策。
3 依據
3.1 國家資通訊安全發展方案
3.2 行政院及所屬各機關資訊安全管理規範
3.3 行政院及所屬各機關資訊安全管理要點
3.4 政府機關(構)資通安全責任等級分級作業規定
3.5 教育體系資通安全管理規範
3.6 本校中長程發展計畫
3.7 ISO/IEC 27001資訊技術-安全技術-資訊安全管理系統-要求事項
4 資訊安全目標
4.1 建立本校資訊安全組織,制訂、推動、實施及評估改進資訊安全管理制度,健全本校資訊環境。
4.2 建置資訊安全管理防護機制,制定營運持續相關計畫,確保資訊系統持續運作。
4.3 建立資訊安全風險管理準則,確保資訊安全的風險達到有效的管理。
4.4 檢視組織及人員工作職掌,辦理資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
4.5 建立資訊事件管理程序及內部稽核制度,確保資訊安全管理之落實執行與有效改善。
4.6 遵循相關法律規章及上級機關之要求,避免違反資訊安全之法律與法令規章等。
4.7 訂定資訊安全營運量測指標,確保資訊安全執行成效。
5 修訂與實施
5.1 本政策應至少每年評估一次,以符合政府法令之要求與本校之需求,並反應資訊科技發展趨勢,確保本校資訊安全管理作業之有效性。
5.2 本政策陳請資安長核定後實施,修訂時亦同。