壹、 總則
一、 制訂目的
(一) 南投縣政府(以下簡稱本府)為維護民眾及自身權益,組織成員有責任和義務共同建立及維護一個安全的資訊與通訊作業環境,使資通安全成為組織文化的一環,特訂定本資通安全政策以「資通安全,人人有責」為口號,並明確定義資通安全目標與要求,以資遵循。
(二) 本政策制訂之目的,在提供可依循之組織資通安全指導大綱及方向,明確定義資通安全管理之目標,並作為安全責任之指導原則。強化資通安全管理,確保資料、資訊系統、資訊設備及網路通訊之安全,以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資訊資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險,符合資訊安全管理系統(ISMS)要求,確保資訊資產之機密性、完整性、可用性及適法性。
二、 適用範圍
本府同仁。
三、 權責單位
本府計畫處資訊管理科。
四、 名詞定義
(一) 機密性:確保資訊資產不受未經授權的存取、使用或揭露。
(二) 完整性:確保資訊資產為真,並有能力證明其未經竄改或偽造。
(三) 可用性:確保資訊資產於授權時間內,可以不受中斷的存取或使用。
(四) 適法性:符合國家相關法令規範。。
貳、 資通安全管理政策
一、 政策內容
(一) 法規應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化進行評估檢討,確保資通安全實務作業之有效性。
(二) 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
(三) 應強固核心資通系統之韌性,確保機關業務持續營運。
(四) 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本府同仁之資通安全意識,本府同仁亦應確實參與訓練。
二、 資通安全之要求事項承諾
(一) 法規遵循:本府執行業務時應遵守資通安全管理法、個人資料保護相關法規及內部資通安全管理相關規範。本府人員違反相關法規規範致生損害者,依相關規定究責。
(二) 組織設置:設置資通安全管理審查委員會,負責本府資通安全管理之建立及推動。
(三) 安全教育:定期實施資通安全教育訓練,宣導資通安全管理政策及實施規定。
(四) 規劃資源:建立資訊資產管理機制,統籌分配並有效應用資源,解決安全問題。
(五) 事先防範:新資通系統或服務建置或推出前,應納入資通安全因素,以防範危害安全情況之發生。
(六) 安全監控:建立資通安全監控與防護措施,並定期進行檢視。
(七) 授權管理:明確規範資通系統、網路服務、敏感資訊之使用權限,防止未經授權存取之行為。
(八) 檢討改善:訂定及執行內外部稽核活動,以落實資訊安全管理系統,並針對未盡事項執行改善。
(九) 業務持續:訂定資通安全之營運持續計畫並實際演練,確保突發事故發生時得以應變,以符合關注方對資通系統可用性之要求。
(十) 資通安全文化:所有人員皆負有資通安全之責任,且應了解及遵守相關之資通安全規定,並於工作職責中落實。
(十一) 領導承諾:本府管理階層應積極參與資通安全管理活動,並提供推展資訊安全管理系統所需之支持及承諾。
三、 持續改善資通安全管理系統之承諾
本府應以「規劃-執行-確認-改善行動」之精神持續改善資訊安全管理系統。
四、 目標及範圍
本府資訊安全管理系統應達成之目標詳如「NTG-ISMS-I-02-02-00資通安全實施程序書」。
五、 政策傳達
本政策於組織內外部傳達,於適用時提供給關注方,傳達方式詳如「NTG-ISMS-I-2-02-01南投縣政府內外部關注方議題一覽表」。
參、 附則
一、 參考文件
(一) ISO/IEC 27001:2022。
(二) 資通安全管理法
(三) 資通安全管理法施行細則
(四) 資通安全責任等級分級辦法
(五) 資通安全事件通報及應變辦法
(六) 資通安全情資分享辦法
(七) 行政院所屬各機關資訊業務委外服務作業參考原則。
(八) 公務機關所屬人員資通安全事項獎懲辦法。
(九) 南投縣政府及所屬各機關學校公務人員平時獎懲標準表。
二、 相關表單
(一) NTG-ISMS-I-2-02-01南投縣政府內外部關注方議題一覽表。
三、 修訂與公告
(一) 本政策應依組織、業務、法令或實體環境等因素更迭予以適當修訂。
(二) 本政策由單位副首長(資通安全管理審查委員會召集人或資通安全長)核定後公布施行,修正時亦同。