壹、目的
新北市政府秘書處(以下簡稱本處)為確保資通資料、系統、設備及網路通訊之安全,有效降低因人為疏失、蓄意或天然災害等導致之資通資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資通安全管理系統,特訂定「資通安全政策及目標(ISMS-01-02)」(以下簡稱本政策)以資遵循。本政策未規定事項依政府其他資通安全法規辦理,以達成資通安全之機密性、完整性與可用性。
貳、依據
依據下列相關法令及標準訂定本政策。
一、資通安全管理法及其相關子法。
二、ISO/IEC 27001 (Information technology — Security techniques — Information security management systems — Requirements)。
參、政策內容
為使本處業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
一、本處依據可能影響資通安全的內外部議題,與關注方對於資通安全之要求事項,擬定完整的資通安全管理制度。
二、本處各項資通安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、個人資料保護法等)之規定。
三、由本處「資通安全推動小組」負責資通安全制度之建立及推動事宜。
四、應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
五、應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
六、因應資通安全威脅情勢變化,可定期辦理資通安全教育訓練,或要求全體同仁每年至少於政府機關數位學習平臺,完成資通安全3小時相關課程,並宣導資通安全政策及目標,以提高本處同仁之資通安全意識,本處同仁亦應確實參與訓練。
七、建立資通硬體設施及軟體之管理機制,以統籌分配、有效運用資源。
八、新資通系統應於建置前將資通安全因素納入,防範危害系統安全之情況發生。
九、如有實體電腦機房,應建立電腦機房實體及環境安全防護措施,並定期施以相關保養。
十、明確規範資通系統及網路服務之使用權限,防止未經授權之存取行為。
十一、訂定資通安全之內部稽核計畫,定期檢視個人電腦使用情形及資通安全制度落實情形。
十二、應強固核心資通系統之韌性,訂定資通安全之營運持續計畫並實際演練,確保本處業務持續營運。
十三、本處所有人員皆負維持資通安全之責任,且應遵守資通安全管理相關規定,針對辦理資通安全業務有功人員應進行獎勵。
十四、勿開啟來路不明或無法明確辨識寄件人之電子郵件。
十五、禁止多人共用單一資通系統帳號。
肆、資通安全政策之核定程序
本處之資通安全政策及目標應簽陳資通安全長核定後實施。
伍、資通安全政策之宣導
本處之資通安全政策應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員及利害關係人進行宣導。
陸、資通安全政策之檢討程序
本處之資通安全政策應定期進行檢討,以反映政府資通安全管理政策、法令、技術、關注方之需要及期望、內外部議題與本處業務之最新狀況,並確保本處資通安全實務作業之可行性及有效性。
柒、目標
一、量化型目標:
- 資通系統可用性達99%以上。
- 知悉資安事件發生後,於規定的時間完成通報、應變及復原作業的比率為100%。
- 電子郵件社交工程演練之郵件開啟率低於5%。
- 電子郵件社交工程演練之郵件附件點閱率低於2%。
- 資通系統發生資料外洩之資通安全事件(≦1次/年)。
- 辦理本處資訊安全稽核(2次/年)。
二、質化型目標:
- 適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
- 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
- 強化委外廠商之選任、監督、管理,嚴格審視委外契約,建構安全服務通道,確保供應鏈關係之資通安全。
- 提升人員資安防護意識、有效偵測與預防外部攻擊等。
瀏覽人次:945 人
更新日期:2024-01-23