網站服務
持續服務開發與內容維護管理,提升本廠網站服務品質
:::
:::

資訊安全政策

第一章 目的

為確保財政部印刷廠(以下簡稱本廠)所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本廠員工之權益。

第二章 適用範圍

資訊安全管理涵蓋11項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本廠帶來各種可能之風險及危害。管理事項如下:

  1. 資訊安全政策制定及評估。
  2. 組織的資訊安全職責與分工。
  3. 資訊資產管理。
  4. 人力資源安全。
  5. 實體與環境安全。
  6. 通訊與作業管理。
  7. 存取控制。
  8. 資訊系統取得、開發及維護。
  9. 資訊安全事件管理。
  10. 營運持續管理。
  11. 遵循性。

第三章 政策

社交工程要警覺、資訊安全你我他、發票資料有保障

為落實本資訊管理系統安全政策制定以下各資訊安全政策:

  1. 設定資訊安全目標之框架,以建立本廠資訊安全之各項推動原則。
  2. 考量營運、法律或法規要求及契約的安全義務。
  3. 與組織的策略性風險管理全景相校準,資訊安全管理系統在此全景中建立及維持。
  4. 建立可藉以評估風險之準則。
  5. 資訊安全政策由管理階層核准,並公布傳達給員工與相關各外部團體。
  6. 重要資訊資產定期進行資訊與軟體的備份與測試(A10.5.1)。
  7. 保護所使用通訊設施的資訊交換(A10.8.1)。
  8. 保護與營運資訊系統互連有關的資訊(A10.8.5)。
  9. 基於存取的營運與安全要求,建立、文件化及審查存取控制(A11.1.1)。
  10. 紙本媒體需保持桌面淨空及螢幕淨空及管控可攜式媒體(A.11.3.3)。
  11. 確保電腦連線與資訊未違反本廠應用系統之存取控制(A11.4.7)。
  12. 採取適當的安全措施,以防範使用移動式設備與通信設施的風險(A11.7.1)。
  13. 管理遠距工作(A11.7.2)。
  14. 使用密碼控制措施以保護資訊安全(A12.3.1)。
  15. 每年由管理階層定期審查以上政策。

第四章 目標

維護本廠資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由全廠同仁共同努力來達成下列目標:

  1. 保護本廠業務活動資訊,避免未經授權的存取。
  2. 保護本廠業務活動資訊,避免未經授權的修改,確保其正確完整。
  3. 建立資訊業務持續運作計畫,確保本廠業務活動之持續運作。
  4. 本廠之業務活動執行須符合相關法令或法規之要求。

第五章 責任

  1. 本廠的管理階層建立及審查此政策。
  2. 資訊安全管理者透過適當的標準和程序以實施此政策。
  3. 所有人員與合約供應商均須依照程序以維護資訊安全政策。
  4. 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
  5. 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。

第六章 實施

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,以確保對於維持營運和提供適當服務的能力。

第七章 審查

  1. 資訊安全政策配合管理審查會議進行資訊安全政策審核。
  2. 本政策經廠長核准,於公告日施行,並以書面、電子或其他方式通知本廠員工及與本廠連線作業之有關機關(構)、廠商,修正時亦同。