壹、目的
為維護醒吾科技大學(以下簡稱本校)資訊服務及其核心業務相關資訊資產(資訊資產包括資料、系統、設備等)之安全,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,確保本校資訊處理作業能安全有效地運作,特制訂資訊安全政策(以下簡稱本政策)以為遵循。
貳、適用範圍
本政策適用於醒吾科技大學資訊安全管理系統所涵蓋的業務範圍。
參、政策聲明
以『健全資安管理制度,落實資安管理之責任,強化資訊安全之防禦,提升資訊服務之品質』為期許,實現『打造校園資安高防禦力且被信賴的數位化校園』之願景。
肆、名詞定義
- 資訊安全(Information Security):保存資訊的機密性、完整性及可用性亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
- 可用性(Availability):確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
- 完整性(Integrity):將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
- 機密性(Confidentiality):適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。
伍、資通安全目標
為維護資訊資產之機密性、完整性與可用性,並保障使用者資料隱私,應共同努力達成下列目標:
- 確保資通安全管理要點與相關管理辦法之有效性,每年至少評估1次。
- 確保相關之資通安全措施或規範符合現行法令之要求,每年至少查核1次。
- 建立風險評鑑機制,資通系統每年至少進行1次風險評估作業。
- 為確保業務持續運作計畫之有效性,核心資通系統每二年至少進行1次演練,且業務單位人員需參與演練。
- 為提升本校同仁資安意識,全校同仁及主管每年應完成3小時之資安通識教育訓練。
- 建立內部資通安全稽核管理機制,各單位前次內部稽核發現事項,未完成改善之件數應不得超過3件。
- 資通安全相關作業執行結果,需提報資通安全委員會審查,每年至少1次。
- 配合主管機關之規範,每年參與資安通報演練作業及惡意電子郵件社交工程演練作業。
- 校園骨幹網路可用率每年平均不得低於90%。
- 核心資通系統服務異常中斷,導致無法連線次數每年不得超過5次。
- 知悉資安事件發生時,需於1小時內通報本校資安聯絡窗口。
陸、權責
- 本校全體同仁、簽約廠商及委外廠商都應遵行資訊安全管理系統之安全政策、程序、辦法。
- 本校應有通報所發現之資通安全事件或資通安全弱點之責任。
- 執行各項資訊作業時,依「教育體系資通安全暨個人資料管理規範」、「個人資料保護法」等相關法令規定辦理,並遵守本校各項規範及與第三方簽訂之契約。
- 違反資訊安全規定者,依個人資料保護法、著作權法、刑法,應予移送司法機關調查。非本校人員違反資訊安全規定時,亦應依相關法律規定追究民、刑事責任。
柒、要求事項
- 資通安全執行小組的成立:本校「資通安全執行小組」,負責落實本政策、推動和督導本校執行資訊安全預防、危機通報、緊急應變處理等工作。
- 資通安全政策之依據:本政策係依據「教育體系資通安全暨個人資料管理規範」、及 CNS27001:2014國家標準等資訊安全規定,並參酌其他資訊安全相關之國際標準如ISO/IEC27001:2013等有關法令與規定,考量本校業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全機制、強化資訊安全防護,提昇資訊安全之水準。
- 管理階層的意向:本校高階管理階層應積極參與資訊安全管理系統(ISMS)之相關活動,並適時對ISMS的活動表達承諾及推動的意願。
- 資訊安全政策之修訂:本政策應每年定期審查,以符合政府法令之要求,並反映資訊科技發展趨勢,確保本校資訊安全管理作業之有效性。本政策由本校資通安全委員會審核,並經資通安全長核定後施行,修正時亦同。
- 資通安全政策之宣導:本政策得以書面、數位傳遞、網頁公告、教育訓練等方式公告周知予所有人員、簽約廠商及委外服務廠商等相關利害關係人。