一、目的
    宜蘭縣政府為強化資訊安全管理，確保資訊資料、系統、設備及網路
    通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產
    遭竊、不當使用、洩漏、竄改或毀損等風險，特訂定資訊安全政策（
    以下簡稱本政策）。本政策未規定事項依政府其他資訊安全法規辦理
    ，以達成資訊之機密性、完整性、可用性與適法性。

二、名詞解釋
    本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、
    竄改、竊取、破壞等事故威脅，並降低可能影響及危害業務運作之損
    害程度。
  （一）機密性：指確保只有經過授權的人才能存取資訊資產。
  （二）完整性：指確保資訊資產其處理方法的準確性及完整。
  （三）可用性：指確保授權的使用者在需要時，可以使用資訊資產。
  （四）適法性：符合本國相關法令規範。

三、適用範圍
    本政策適用於各項資訊資產及其資訊使用者，資訊使用者係包含員工
    、建置維護廠商及其他經授權使用資訊資產之人員。

四、依據
    本政策係依據行政院及所屬各機關資訊安全管理要點，並參酌行政院
    及所屬各機關資訊安全管理規範、國家資通訊安全發展方案等有關法
    令、計畫，及ISO/CNS27001資訊安全管理系統標準，考量業務需求，
    訂定資訊安全政策及相關標準作業程序，以建立資訊安全管理機制、
    強化資訊安全防護，提昇資訊安全之水準。

五、組織
    為統籌資訊安全管理等事項之協調、規劃、稽核及推動，特成立跨單
    位之資訊安全推動組織幕僚作業由計畫處負責，並依下列分工原則，
    配賦有關單位及人員權責：
  （一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由
        計畫處負責辦理。
  （二）資料及資訊系統之安全需求研議、管理及保護等事項，由各業務
        單位負責辦理。
  （三）資訊機密維護及安全稽核等事項，由政風處會同相關單位負責辦
        理。
    驗證實施範圍推動組織詳 ISMS-2-0-01資訊安全管理組織與責任分工
    程序書。

六、實施範圍
    有關單位及人員應就下列事項訂定相關管理規範或實施計畫，並定期
    評估實施成效：
  （一）資訊安全政策。
  （二）資訊安全的組織。
  （三）資訊資產安全管理。
  （四）人員管理及資訊安全教育訓練。
  （五）實體及環境安全管理。
  （六）通訊與作業管理。
  （七）系統存取控制。
  （八）系統發展及維護安全管理。
  （九）資訊安全事件管理。
  （十）業務永續運作計畫之規劃與管理。
  （十一）適法性管理。
  （十二）相關實施程序詳 ISMS-2-0-02資訊安全實施程序書。

七、內容
  （一）各項資訊安全管理規定必須遵守政府相關法規（如：刑法、國家
        機密保護法、專利法、商標法、著作權法、個人資料保護法等）
        之規定。
  （二）由計畫處負責資訊安全制度之建立及推動事宜。
  （三）定期實施資訊安全教育訓練，宣導資訊安全政策及相關實施規定
        。
  （四）建立資訊硬體設施及軟體之管理機制，以統籌分配、運用資源。
  （五）建置新資訊系統前，應將資訊安全納入考量因素，防範發生危害
        系統安全之情況。
  （六）建立電腦機房實體及環境安全防護措施，並定期實施相關保養。
  （七）明確規範資訊系統及網路服務之使用權限，防止未經授權之存取
        動作。
  （八）訂定資訊安全內部稽核計畫，定期檢視個人電腦使用情形。
  （九）訂定資訊安全之業務持續運作計畫並實際演練，確保業務持續運
        作。
  （十）所有人員負有維持資訊安全之責任，且應遵守相關之資訊安全管
        理規定。

八、實施與修正
    本政策奉縣長核定後實施，修正時亦同。