資通安全政策
更新日期:
第一章 目的
為確保財政部印刷廠(以下簡稱本廠)所屬之資訊及資通系統之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本廠員工之權益。
第二章 適用範圍
資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本廠帶來各種可能之風險及危害。控制領域如下:
1.A5.安全政策。
2.A6.資訊安全的組織。
3.A7.人力資源安全。
4.A8.資產管理。
5.A9.存取控制。
6.A10.密碼。
7.A11.實體與環境安全。
8.A12.作業安全。
9.A13.通訊安全。
10.A14.資訊系統獲取、開發及維護。
11.A15.供應商關係。
12.A16.資訊安全事故管理。
13.A17.營運持續管理的資訊安全層面。
14.A18.遵循性。
第三章 政策
社交工程要警覺、資安事件要通報、資通安全要落實、持續營運要達到
為落實本資訊管理系統安全政策制定以下各資通安全政策:
- 設定資通安全目標之框架,以建立本廠資通安全之各項推動原則。
- 考量營運、法律或法規要求及契約的安全義務。
- 與組織的策略性風險管理全景相校準,資訊安全管理系統在此全景中建立及維持。
- 建立可藉以評估風險之準則。
- 資通安全政策由管理階層核准,並公布傳達給員工與相關各外部團體。
- 重要資訊及資通系統定期進行資訊與軟體的備份與測試(A12.3.1)。
- 保護所使用通訊設施的資訊交換(A13.2.1)。
- 保護與營運資訊系統互連有關的資訊(A14.1.3)。
- 基於存取的營運與安全要求,建立、文件化及審查存取控制(A9.1.1)。
- 紙本媒體需保持桌面淨空及螢幕淨空及管控可攜式媒體(A.11.2.9)。
- 確保電腦連線與資訊未違反本廠應用系統之存取控制(A9.1.2)。
- 採取適當的安全措施,以防範使用移動式設備與通信設施的風險(A6.2.1)。
- 使用密碼控制措施以保護資通安全(A10.1.1)。
- 確保供應商之資通安全要求(A15.1.1)。
- 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
- 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
- 應強固核心資通系統之韌性,確保機關業務持續營運。
- 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本廠同仁之資通安全意識,本廠同仁亦應確實參與訓練。
- 禁止多人共用單一資通系統帳號。
- 每年由管理階層定期審查以上政策。
第四章 目標
維護本廠資訊及資通系統之機密性、完整性與可用性,並保障使用者資料隱私。藉由全廠同仁共同努力來達成下列目標:
- 保護本廠業務活動資訊,避免未經授權的存取。
- 保護本廠業務活動資訊,避免未經授權的修改,確保其正確完整。
- 建立資訊業務持續運作計畫,確保本廠業務活動之持續運作。
- 本廠之業務活動執行須符合相關法令或法規之要求。
第五章 責任
- 本廠的管理階層建立及審查此政策。
- 資通安全管理者透過適當的標準和程序以實施此政策。
- 所有人員與合約供應商均須依照程序以維護資通安全政策。
- 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
- 任何蓄意違反資通安全的行為將受到相關規範或法律行動。
第六章 審查
本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,以確保對於維持營運和提供適當服務的能力。
第七章 實施
- 資通安全政策配合管理審查會議進行資通安全政策審核。
- 本政策經廠長核准,於公告日施行,並以書面、電子或其他方式通知本廠員工及與本廠連線作業之有關機關(構)、廠商,修正時亦同。