資訊安全政策
承辦人:
網站管理員
壹、目的
本政策依據【行政院所屬各機關資訊安全管理要點】及【教育體系資通安全暨個人資料管理規範】等相關法規之要求,規範靜宜大學(以下簡稱本校)資訊安全管理制度(ISMS),以確保滿足內外部利害關係者對本政策依據行政院所屬各機關資訊安全管理要點及教育體系資通安全暨個人資料管理規範等相關法規之要求,規範靜宜大學(以下簡稱本校)資訊安全管理制度(ISMS),以確保滿足內外部利害關係者對資訊安全要求事項,及本校管轄資訊資產之機密性、完整性、可用性,持續改善資訊安全管理制度,進而保障內外部利害關係者之權益。
貳、政策聲明
願景:健全資訊安全管理架構,滿足資訊安全要求,提供可信賴之資訊服務。
目標:確保本校資訊之永續提供及完整資訊的合法存取。
參、範圍
為落實內外部利害關係者對資訊安全之要求,並避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。
本資安政策涵蓋之範圍
一、適用人員:本校資訊安全相關委員及業管同仁、供應商、委外單位人員與訪客等。
二、資源涵蓋範圍:適用於本校網路骨幹、伺服器主機、校務系統、資料庫、電子郵件及全球資訊網等服務。
三、資安管理範疇涵蓋領域:依據資訊安全手冊所列之所有相關範疇。
四、內外部利害關係者:
(一)外部利害關係者:教育部、台中區網中心、學生家長、地方意見、供應商、委外單位人員。
(二)內部利害關係者:教師、職員、學生、資訊安全相關委員會、上級主管。
肆、組織及權責
設置「資訊安全暨個人資料保護推動委員會」,為本校資訊安全最高管理階層,此管理階層負責政策之核定及監督及定期檢視ISMS成效,確認資訊安全政策符合學校政策及高階支持等管理制度面要求,並讓各單位全員了解資安之責任;另設「資安暨個資保護執行組」及「資訊安全工作小組」,負責資訊安全業務執行、預防及危機處理,確保ISMS符合標準要求並定期向「資訊安全暨個人資料保護推動委員會」報告ISMS績效。
伍、原則
一、定期檢核內外部利害關係者對資訊安全要求及各項回饋機制。
二、風險評鑑及風險處理:
(一)、重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
(二)、重要資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。
(三)、對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。
(四)、應訂定業務持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。
三、建置並制定各項資訊安全目標及達成規劃,並包括:
(一)、資訊安全執行者。
(二)、各項資安工作完成時程。
(三)、各項資安工作結果評核。
四、相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。
五、定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
六、違反本政策與資訊安全相關規範,依相關法規或本校懲戒規定辦理。
七、本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂,並持續改善資訊安全管理制度(ISMS)。
陸、實施
本政策經「資訊安全暨個人資料保護推動委員會」核定後實施,修訂時亦同。
瀏覽數: