網站服務
持續服務開發與內容維護管理,提升本廠網站服務品質
:::
:::

資通安全政策

第一章 目的

為確保財政部印刷廠(以下簡稱本廠)所屬之資訊及資通系統之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本廠員工之權益。

第二章 適用範圍

資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本廠帶來各種可能之風險及危害。控制領域如下:

  1.A5.安全政策。

  2.A6.資訊安全的組織。

  3.A7.人力資源安全。

  4.A8.資產管理。

  5.A9.存取控制。

  6.A10.密碼。

  7.A11.實體與環境安全。

  8.A12.作業安全。

  9.A13.通訊安全。

  10.A14.資訊系統獲取、開發及維護。

  11.A15.供應商關係。

  12.A16.資訊安全事故管理。

  13.A17.營運持續管理的資訊安全層面。

  14.A18.遵循性。

 

第三章 政策

社交工程要警覺、資安事件要通報、​資訊安全要落實、持續營運要達到​

為落實本資訊管理系統安全政策制定以下各資通安全政策:

  1. 設定資通安全目標之框架,以建立本廠資通安全之各項推動原則。
  2. 考量營運、法律或法規要求及契約的安全義務。
  3. 與組織的策略性風險管理全景相校準,資訊安全管理系統在此全景中建立及維持。
  4. 建立可藉以評估風險之準則。
  5. 資通安全政策由管理階層核准,並公布傳達給員工與相關各外部團體。
  6. 重要資訊及資通系統定期進行資訊與軟體的備份與測試(A12.3.1)。
  7. 保護所使用通訊設施的資訊交換(A13.2.1)。
  8. 保護與營運資訊系統互連有關的資訊(A14.1.3)。
  9. 基於存取的營運與安全要求,建立、文件化及審查存取控制(A9.1.1)。
  10. 紙本媒體需保持桌面淨空及螢幕淨空及管控可攜式媒體(A.11.2.9)。
  11. 確保電腦連線與資訊未違反本廠應用系統之存取控制(A9.1.2)。
  12. 採取適當的安全措施,以防範使用移動式設備與通信設施的風險(A6.2.1)。
  13. 使用密碼控制措施以保護資通安全(A10.1.1)。
  14. 確保供應商之資通安全要求(A15.1.1)。
  15. 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
  16. 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
  17. 應強固核心資通系統之韌性,確保機關業務持續營運。
  18. 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本廠同仁之資通安全意識,本廠同仁亦應確實參與訓練。
  19. 禁止多人共用單一資通系統帳號。
  20. 每年由管理階層定期審查以上政策。

第四章 目標

維護本廠資訊及資通系統之機密性、完整性與可用性,並保障使用者資料隱私。藉由全廠同仁共同努力來達成下列目標:

  1. 保護本廠業務活動資訊,避免未經授權的存取。
  2. 保護本廠業務活動資訊,避免未經授權的修改,確保其正確完整。
  3. 建立資訊業務持續運作計畫,確保本廠業務活動之持續運作。
  4. 本廠之業務活動執行須符合相關法令或法規之要求。

第五章 責任

  1. 本廠的管理階層建立及審查此政策。
  2. 資通安全管理者透過適當的標準和程序以實施此政策。
  3. 所有人員與合約供應商均須依照程序以維護資通安全政策。
  4. 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
  5. 任何蓄意違反資通安全的行為將受到相關規範或法律行動。

第六章 實施

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,以確保對於維持營運和提供適當服務的能力。

第七章 審查

  1. 資通安全政策配合管理審查會議進行資通安全政策審核。
  2. 本政策經廠長核准,於公告日施行,並以書面、電子或其他方式通知本廠員工及與本廠連線作業之有關機關(構)、廠商,修正時亦同。