:::

資通安全政策

information security policy

1、 目的

為確保國家教育研究院教育制度及政策研究中心(以下簡稱「本中心」)所屬之資訊資產的機密性、完整性及可用性,以符合「資通安全管理法」等相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,特訂定本政策。

 

2、 適用範圍

1.2 本政策適用範圍為本中心之全體同仁、臨時工、委外服務廠商、資料使用者(含保管者)與訪客等。

1.3 資通安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本中心造成各種可能之風險。

 

3、 目標

為維護本中心資訊資產之機密性、完整性、可用性與法律遵循性,並保障使用者資料隱私之安全,期藉由本政策之實施以達成下列目標:

1.4 建立安全及可信賴之資通作業環境,確保本中心電腦資料、系統、設備及網路之安全,以保障本中心業務永續運作。

1.5 保護本中心業務服務之安全,確保資通系統及相關資訊需經授權人員才可存取資訊,以確保其機密性。

1.6 保護本中心業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。

1.7 建立本中心業務永續運作計畫,以確保本中心資通業務服務之持續運作。

1.8 確保本中心各項業務服務之執行須符合相關法令或法規之要求。

 

4、 責任

1.9 本中心應成立資通安全組織統籌資通安全事項推動。

1.10 管理階層應積極參與及支持資通安全管理制度,並透過適當的標準和程序以實施本政策。

1.11 本中心全體同仁、臨時工、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。

1.12 本中心全體同仁、臨時工、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制,通報資通安全事件或弱點。

1.13 任何危及資通安全之行為,將視情節輕重追究其民事、刑事及行政責任,或依「公務機關所屬人員資通安全事項獎懲辦法」及本中心之相關規定進行議處。

 

5、 管理指標

為確保組織資通安全管理目標與績效之達成,並符合資通安全政策目標之一致性,落實資通安全管理制度之實施,訂定「資通安全目標達成計畫」

 

6、 審查

本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展情況,確保本中心業務永續運作之能力。資安組織、主管機關(或法令、法規要求)、或專家學者等利害關係人如有資通安全相關回饋事項,應將列入管理審查會議之討論議題。

 

7、 實施

本政策經「資通安全長」核定後實施,修訂時亦同。