一、(目的)
立法院(以下簡稱本院)為維護整體資通安全,強化各項資訊資產之
安全管理,確保其機密性、完整性、可用性及法律遵循性,以因應業
務運作需要,妥善支援立法委員依法行使職權,特訂定本要點。
|
二、(名詞定義)
本要點所稱資通安全係防止資通系統或資訊遭受未經授權之存取、使
用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、
完整性及可用性。
本要點所稱資訊資產係本院所收集、產生、運用之資料,以及為完成
以上工作所需使用之相關設備。
|
三、(適用範圍)
本要點適用於本院各項資訊資產及其資訊使用者。
|
四、(遵循性/法令依據)
本要點及依據本要點所訂定之各項附屬規定,係參考資通安全管理法
、個人資料保護法、著作權法、國家機密保護法、電子簽章法等法規
及其他相關標準所訂定,資訊使用者應確實遵守,如有違反者,依相
關法令辦理。
|
五、(資通安全組織)
為落實本院資通安全管理,由機關首長指派副首長或適當人員兼任資
通安全長,並成立資通安全稽核小組、資通安全工作小組及個人資料
管理小組,負責統籌資通安全稽核、各項作業原則規劃、權責機關與
特殊利害相關團體聯繫及專案管理之資通安全與個人資料保護等事宜
,其組織運作及工作職責另定管理程序。
|
六、(人力資源安全)
為降低內部人為因素對本院資通安全之影響,各單位應考量人力及工
作職掌,實行分工及輪調措施。
本院應視需要實施資通安全教育訓練及宣導,以提高人員對資通安全
之認知。
|
七、(資訊資產管理安全)
為保護本院資訊資產安全,應建立資訊資產清冊加以分類分級,並訂
定相對應之管制措施。
|
八、(存取控制安全)
為避免本院資訊資產因未授權之存取而使機密性或敏感性資料遭不當
使用,應考量人員職務授予相關權限。
為確保本院遠距工作的使用安全,應對遠距工作存取訂定相對應之管
制措施。
|
九、(憑證安全)
本院憑證申請及應用原則,應定期進行評估,以保護資訊的機密性、
鑑別性及完整性,必要時得採行加解密及身分鑑別機制,以加強資料
之安全。
|
十、(實體及環境安全)
為確保本院電腦機房維運及資訊資產使用區域之安全,應訂定實體與
環境安全管理原則。
為確保本院行動裝置及可攜式儲存媒體的使用安全,應建立行動裝置
與可攜式儲存媒體管理原則。
|
十一、(運作安全)
為確保本院主機作業平台、資料庫與資通處理設施被正確及安全操
作,受到防範惡意碼的保護、防護資料損失及竄改、紀錄事件及產
生相關證據、保護作業系統的完整並防止技術脆弱性被利用,應訂
定運作與通訊管理作業原則。
|
十二、(通訊安全)
為確保本院網路及其支援資通處理設施上資訊之保護,並維護內部
及外部單位資訊傳送之安全,應訂定運作與通訊管理作業原則。
|
十三、(系統獲取、開發及維護安全)
為確保本院資通系統生命週期的資通安全控管,分析、設計、開發
、測試、上線及維護各階段之資通安全,應訂定系統獲取、開發及
維護安全管理標準作業原則。
|
十四、(供應者關係安全)
為確保供應者(含雲瑞服務提供者)可存取的本院資訊資產受到保
護,並維持資通安全及服務交付與供應者協議一致,應訂定供應者
關係安全管理要求。
為提高本院委外作業之安全,應要求廠商簽署保密協議書,並管理
專案人員及駐點人員之各項資訊資產存取權限。
|
十五、(資通安全事件管理)
為確保本院資通安全事件管理(包括對安全事件及弱點之通報)有
一致及有效的作法,應建立資通安全事件通報及處理程序,並加以
記錄。
本院應訂定資通安全目標,並確保該目標符合本要點之目的要求。
|
十六、(營運持續管理之資通安全層面)
為避免本院資訊資產遭受災害而影響業務永續運作,確保資訊處理
設施的可用性,資通安全持續性應做為營運持續管理之基礎,且訂
定營運持續緊急應變演練及復原計畫,並定期測試演練。
|
十七、(資通安全稽核管理)
為落實本要點,強化資通安全管理,應建立資通安全稽核機制,由
資通安全稽核小組定期執行稽核。
|
十八、(風險管理)
為有效管理本院各項資訊資產所面臨之威脅、弱點及其衝擊程度,
應辦理資訊資產風險評估並實行必要之風險管理。
|
十九、(每年檢討)
本要點應每年檢討,以反映最新標準規範、技術及組織業務現況。
|
二十、(宣導)
本要點應定期宣導。
|
二十一、(施行)
本要點經院長核定後施行,修正時亦同。
|