「財政部國有財產署北區分署」資訊安全政策

本分署97年6月26日台財產北資字第0977000052號函修正
本分署101年6月15日台財產北資字第1017000052號函修正
本分署102年6月20日台財產北資字第10270000710號函修正
本分署103年7月28日台財產北資字第10370000530號函修正
本分署104年7月14日台財產北資字第10470000600號函修正
本分署106年7月7日台財產北資字第10670000540號函修正
本分署107年6月21日台財產北資字第10770000460號函修正
本分署108年6月28日台財產北資字第10870000430號函修正

 

壹、依據

一、行政院88年9月15日台88經字第34735號函頒「行政院及所屬各機關資訊安全管理要點」。

二、財政部91年6月24日台財資字第91895856號函頒「財政部暨所屬機關(構)資訊安全管理準則」。

貳、目的

為強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備、及網路安全,保障民眾權益,訂定本政策。

參、資訊安全定義

所謂資訊安全係採行安全防護手段、措施或機制,避免各項資訊資產及個資資料遭不當使用、洩漏、竄改、竊取、破壞等事故威脅,以確保業務持續運作,並降低事故影響、危害業務運作及民眾權益之損害程度。

肆、資訊安全目標

一、確保業務資訊之機密性、完整性及可用性。

二、確保資訊業務運作之安全性、有效性及持續性。

三、確保資安措施符合政策及法令要求。

四、確保個人資料資訊之妥善保護及利用

五、建立「資訊安全人人有責,資安防護由我開始,運用資訊安全第一」之觀念。

六、資通安全事件,全年發生率不得超過3次。

伍、資訊安全原則及標準

一、本分署各項資訊安全管理規定,必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。

二、本分署人員應接受與職務相關之資訊安全教育訓練,並熟悉本身工作中之資訊安全職責。

三、應建立資訊安全監控、通報與應變機制,以確保資訊安全事件即時處理。

四、應訂定業務持續運作計畫,並定期測試演練,以確保資訊服務不中斷。

五、本政策每年至少評估一次,並視需要修正,以反映政府資訊安全管理政策、法令、技術及業務等最新發展現況,確保資訊安全實務作業之可行性及有效性。

六、本政策應以書面、電子或其他方式通知本分署人員及與本分署業務往來之公私機關(構)、提供資訊服務之廠商共同遵行。

陸、資訊安全範圍

有關單位及人員應就下列資訊安全之事項訂定相關管理規範或實施計畫,並定期評估實施成效:

一、人員管理及資訊安全教育訓練。

二、電腦系統安全管理。

三、網路安全管理。

四、系統存取控制管理。

五、系統發展及維護安全管理。

六、資訊資產安全管理。

七、實體及環境安全管理。

八、業務永續運作計畫管理。

九、資訊安全稽核。

前項資訊安全之事項,本署已有訂定管理規範者,得據以執行並評估實施成效,免再訂定相關管理規範。

柒、資訊安全組織

成立「資通安全處理小組」,負責制定、定期評估資訊安全政策,統籌資訊安全計畫、資源調度等事項之協調、推動及研議。

捌、資訊安全權責分工

一、資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊小組負責辦理。

二、資料及資訊系統之安全需求研議、使用管理及保護等事項,由相關業務單位負責辦理。

三、資訊機密維護及稽核使用管理事項,由政風室會同相關單位負責辦理。

玖、責任

一、本分署人員須遵守國家機密保護法、個人資料保護法、行政院及所屬各機關資訊安全管理要點及本署與本分署各項作業規範等資訊安全相關法令之規定。

二、各單位主管對於本政策及相關作業規範之遵循,負監督、執行及考核之責。

拾、獎懲

一、本分署執行資訊安全作業有功人員,依「財政部國有財產署及所屬機關人員獎懲作業規定」及「臨時人員工作規則」辦理。

二、本分署人員違反資訊安全規定者,依「財政部國有財產署及所屬機關人員獎懲作業規定」及「臨時人員工作規則」辦理;有「公務員懲戒法」第2條所定情事,應付懲戒者,依該法第19條規定辦理;有觸犯「刑法」之嫌疑者,應予移送司法機關調查;有涉及國家賠償事件者,應依「國家賠償法」等相關法律追究損害賠償責任。

三、非本分署人員違反資訊安全規定時,依相關法律規定追究民刑事責任。

拾壹、資訊安全事件緊急處理機制

資訊安全事件發生時,依據本分署資通安全事件緊急應變作業處理要點辦理。

拾貳、相關文件及表單

一、相關文件

  1. 2A01財政部國有財產署人員管理及資訊安全教育訓練規範。

  2. 2B01財政部國有財產署電腦系統安全管理規範。

  3. 2C01財政部國有財產署網路安全管理規範。

  4. 2D01財政部國有財產署系統存取控制管理規範。

  5. 2E01財政部國有財產署系統發展及維護安全管理規範。

  6. 2F01財政部國有財產署資訊資產安全管理規範。

  7. 2G01財政部國有財產署實體及環境安全管理規範。

  8. 2H01財政部國有財產署業務永續運作計畫管理規範。

  9. 2I01 財政部國有財產署資訊安全稽核規範。

  10. 3001財政部國有財產署北區分署資通安全處理小組設置要點。

二、使用表單

  1. 4001財政部國有財產署資通安全四階文件表。

拾參、附則

本政策奉分署長核定後實施,修正時亦同。