Your browser does not support JavaScript!
資訊安全政策
中華大學 圖書與資訊處 - 資訊安全政策 v4.0 (2018/10/18) 列印

 

一、目的

為確保中華大學圖書與資訊處(以下簡稱「圖資處」)所屬之資訊資產的機密性、完整性及可用性,遵循中華民國「個人資料保

護法」及相關法令規定,不會將其應用在超出收集特定目的以外之用途,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本處

之業務需求和遵循中華大學資訊安全政策,訂定本處資訊安全政策(以下簡稱「本政策」)。

二、適用範圍

2.1 本政策適用範圍為本處資訊服務之內部人員、委外服務廠商與訪客等相關人員。
2.2 資訊安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事
    發生,對本處造成各種可能之風險及危害,各領域分述如下
2.2.1 資訊安全政策訂定與評估。
2.2.2 資訊安全組織。
2.2.3 
人力資源安全與教育訓練。
2.2.4 資訊資產分類與管制
2.2.5 存取控制安全
2.2.6 
密碼學(加密控制)
2.2.7 實體與環境安全
2.2.8 運作安全。
2.2.9 通訊安全。
2.2.10 系統獲取、開發及維護。
2.2.11 供應者關係。
2.2.12 資訊安全事故管理。
2.2.13 資訊安全事故管理。
2.2.14 遵循性。
三、目標
為維護本處資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全,藉由本處資訊服務之相關人員共同努力達成下列目標:
3.1 定性化目標
3.1.1 保護本處業務服務之安全,確保資訊經授權人員才可存取,以確保其機密性。
3.1.2 保護本處業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
3.1.3 建立本處業務永續運作計畫,以確保本處業務服務之持續運作。
3.1.4 確保本處各項業務服務之執行符合相關法令或法規之要求。
3.1.5 確保所有資安事件、意外事件或可疑之安全弱點,都應依循適當通報機制向上反應,予以適當調查及處理。
3.1.6 定期審查本處資訊安全組織人員執掌,以確保資訊安全工作之推展。
3.1.7 應符合主管機關之要求,依員工職務及責任提供適當之資訊安全相關訓練。
3.1.8 應加強本處資訊機房設施之環境安全,採取適當之保護及權限控管機制。
3.1.9 應加強存取控制,防止未經授權之不當存取,以確保本處資訊資產受適當的保護。
3.1.10 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
 
3.2 定量化目標
3.2.1 確保機房內核心系統電力、空調服務達到全年97%以上之可用性,可用性計算公式為(365天*24時-中斷服務時數)/(365天*24時)。
3.2.2 確保網路通訊服務達到全年95% 以上之可用性,可用性計算公式為(365天*24時-中斷服務時數)/(365天*24時)。
3.2.3 確保核心系統業務服務達到全年95% 以上之可用性,可用性計算公式為(365天*24時-中斷服務時數)/(365天*24時)。
3.2.4 確保核心系統業務服務中斷(如人員操作錯誤、病毒攻擊、硬體故障和程式錯誤)每年發生次數低於8次。
3.2.5 為確保本處資訊安全措施或規範符合現行法令、法規之要求,每年至少需執行內部稽核乙次。
3.2.6 應適當保護本處資訊資產之機密性與完整性,每年至少需進行資訊資產盤點及風險評鑑作業乙次。
3.2.7 為確保本處資訊業務服務得以持續運作,每年至少需執行業務永續運作計畫演練乙次。
四、責任
4.1 本處設立資訊安全執行組統籌資訊安全事項推動。
4.2 本處各級主管應積極參與及支持資訊安全管理制度,並透過所制訂的相關標準和程序來達成本政策。
4.3 本處資訊服務之相關人員、委外服務廠商與訪客等皆應遵守本政策
4.4 本處資訊服務之相關人員及委外服務廠商發現資安事件時,應通報本處資安連絡人,並副知本處資安官,再由資安連絡人透過通報機
制通報資訊安全事件或弱點。
4.5 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本處之相關規定進行議處
五、審查
本政策每年至少應審查一次,以反映政府法令、技術及業務等最新發展現況,並確保本業務永續運作之能力。
六、實施
本政策經資訊安全管理審查會議審議通過後實施,修訂時亦同。

 

瀏覽數