:::目前位置:首頁 > 本處資訊安全政策宣示
| 一、 | 資訊安全政策制定 | ||
| (一) | 目的 | ||
| 交通部公路總局第二區養護工程處(以下簡稱本處)為強化資訊安全管理,建立可信賴之各項資訊應用系統,確保本處資訊資產免於遭受來自內部或外部以及來自人為、蓄意或意外之破壞。 | |||
| (二) | 依據 | ||
| 本政策依據「行政院及所屬各機關資訊安全管理要點」、「國家機密保護法」、「智慧財產權法」及「電腦處理個人資料保護法」之相關規定,併衡酌本處業務需求,訂定本處資訊安全政策。 | |||
| (三) | 定義 | ||
| 資訊安全之本質可歸為以下三類: | |||
| 1. | 機密性(Confidentiality):適當的劃分資訊資產的機密等級,並依其機密等級予以適當的規範及保護。 | ||
| 2. | 完整性(Integrity):確保各項資訊資產的完整,以期組織能正確運用該項資產。 | ||
| 3. | 可用性(Availability):確保各項資訊資產能提供即時且正確的服務,以滿足使用者的需求。 | ||
| (四) | 範圍 | ||
| 本資訊安全政策之範圍涵蓋下列事項: | |||
| 1. | 資訊安全政策制定及評估 | ||
| 2. | 資訊安全組織及權責 | ||
| 3. | 人員安全管理及教育訓練 | ||
| 4. | 資訊資產之安全管理 | ||
| 5. | 實體及環境安全管理 | ||
| 6. | 通訊與操作管理 | ||
| 7. | 網路安全管理 | ||
| 8. | 系統存取控制 | ||
| 9. | 系統發展及維護之安全管理 | ||
| 10. | 業務永續運作計畫 | ||
| 11. | 建立資通安全稽核制度及落實進行資通安全內部稽核工作 | ||
| 二、 | 資訊安全政策目標 | ||
| (一) | 確保本處公路工程業務相關電腦資訊資料、系統、設備及網路之安全,避免因人為疏失、蓄意破壞或自然災害等風險,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉或損及民眾權益。 | ||
| (二) | 另訂定下列項目以為資訊安全維護之明確指標: | ||
| 1. | 具有常態組織綜合辦理資訊安全業務。 | ||
| 2. | 具備最新且正確的資訊資產清冊。 | ||
| 3. | 人員進用與職能劃分符合安全規定,並適當給予資訊安全教育訓練,且明確讓人員知悉資安事件之通報程序。 | ||
| 4. | 規範有形資產之保護措施、安全裝備與一般控管原則。 | ||
| 5. | 通信與資訊作業具有安全控管措施。 | ||
| 6. | 資訊存取具有明確且適當的控制程序。 | ||
| 7. | 軟體開發與維護納入安全考量。 | ||
| 8. | 組織業務之持續運作。 | ||
| 9. | 建立資通安全稽核制度及落實資通安全內部稽核工作,以確保本處之資通安全。 | ||
| 10. | 確保本處之相關委外作業須符合資通安全,並制定相關控管機制,進行委外管理。 | ||
| 11. | 資訊作業符合政策、相關法令與規定。 | ||
| 三、 | 權責 | ||
| (一) | 資訊安全主管單位應適時依本處組織、業務或環境等因素之變迭,予以適當修訂本政策,以確保本政策符合現行需求。 | ||
| (二) | 本處高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾,並適時覆核本政策。 | ||
| (三) | 人員應透過適當程序落實本政策之要求。 | ||
| (四) | 本處編制內員工、約聘僱人員、借調、委外服務廠商、所有相關資訊資產及與本處連線作業之機關,皆須遵循本政策。 | ||
| (五) | 本處所有相關同仁皆須應透過適當回報機制,回報所發現之資訊安全事件或資訊安全弱點。 | ||
| (六) | 本處所有同仁未遵循本政策或發生其他任何危及本處資訊安全之行為,將訴諸適當之懲罰程序或法律行動。 | ||
| (七) | 本處所有相關同仁皆須簽署保密切結書,並瞭解於本處工作期間所取得之資訊均為本處資產,不得使用於其他未授權之用途。 | ||
| 四、 | 資訊安全政策之審查及修訂 | ||
| (一) | 本政策由資訊安全主管單位維護,並定期做必要之審查及調整,以維護資訊安全政策之適切性及有效性。 | ||
| (二) | 本政策由資訊安全主管單位每年定期或依本處組織、業務或環境等因素之變迭,予以適當修訂,於核准後公告實施,以符合現況。 | ||