壹、資訊安全政策制定及評估
一、資訊安全政策制定
(一)應依據電腦處理個人資料保護法、國家機密保護辦法與行政院及
所屬各機關資訊安全管理要點等有關法令,衡酌機關業務需求,
參考本規範訂定資訊安全政策,研訂資訊作業之安全水準,並以
書面、電子或其他方式通知員工及與機關連線作業之有關機關(
構)、廠商。
(二)制訂資訊安全政策,應至少包括下列事項:
1.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
2.資訊安全政策之解釋及說明,資訊安全之原則、標準,以及員工
應遵守之規定,包括:
(1) 政府法令及契約對機關資訊安全之要求及規定。
(2) 資訊安全教育及訓練之要求。
(3) 電腦病毒防範之要求。
(4) 業務永續運作計畫。
3.推行資訊安全工作之組織、權責及分工。
4.員工應負的一般性及特定的資訊安全責任。
5.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
。
二、資訊安全政策之評估
(一)制訂之資訊安全政策,應定期進行獨立及客觀的評估,以反映政
府資訊安全管理政策、法令、技術及機關業務之最新狀況,確保
資訊安全之實務作業,確實遵守資訊安全政策,以及確保資訊安
全實務作業之可行性及有效性。
(二)資訊安全政策評估作業,可責由具有專業技術及知識之內部稽核
單位、獨立客觀的資深主管人員,或是委請公正超然的民間專業
組織或團體,進行資訊安全政策執行成果之評估。
(三)應定期對所屬單位及人員進行資訊系統及技術應用之安全評估,
以確保其遵守資訊安全政策及規定。
1.應列入資訊安全評估的對象如下:
(1) 資訊設施及系統提供者。
(2) 資訊及資料擁有者。
(3) 使用者。
(4) 管理者。
(5) 系統維護者。
(6) 其他有關人員。
2.資訊系統擁有者應配合定期的資訊安全評估,檢討相關人員是否
遵守機關資訊安全政策、規範及有關安全規定。
3.應定期檢討及評估各項軟、硬設備的安全性,以確保其符合機關
訂定的安全標準;評估對象應包括作業系統之評估,以確保系統
軟體及硬體的安全措施,正確及有效地執行。
4.如專業人力及經驗不足,得委請民間專業組織團體或學者專家之
協助。
5.系統安全評估應由具有專業知識及豐富經驗的系統工程人員,在
權責主管人員的監督下,以人工的方式執行,或是以自動化的軟
體工具執行安全檢查,產生技術評估報告,以利日後解讀分析。
(四)資訊安全政策及規定之宣達
1.資訊安全政策及人員在資訊安全應扮演之角色及責任等有關規定
,應在工作說明書或有關作業手冊中載明。
2.工作說明書或作業手冊規定之資訊安全政策、說明及規定,應包
括執行及維護資訊安全政策的一般性責任規定、保護特定資訊資
產的特別責任規定,以及執行特別安全程序及作為的特別責任規
定。
3.員工如違反資訊安全相關規定,應依紀律程序處理。
|