|
(一)目的
1.為推動本站各單位強化資訊安全管理,建立安全及可信賴之電子化機關,確保資料、系統、設備及網路安全,特訂定本作業規定。
2.本作業規定係依據「行政院及所屬各機關資訊安全管理規範」,並參考相關法令規範,如「電腦處理個人資料保護法」、「國家機密保護辦法」而訂定。
(二)定義
1.資訊安全為確保單位資訊處理之正確性、作業人員之忠誠度、所使用之事務機器(包括電腦硬體、軟體、週邊)及網路系統之可靠性,並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖。
2.本作業規定所稱各單位,指本站各組室及七美航空站與望安航空站。
3.本作業規定所稱資訊安全政策,指單位為達成資訊安全目標所訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。
(三)資訊安全之範圍
1.資訊安全之範圍共分十大項,包括:資訊安全政策制定及評估、資訊安全組織及權責、人員安全管理及教育訓練、電腦系統安全管理、網路安全管理、系統存取控制、系統發展及維護安全管理、資訊資產之安全管理、實體及環境安全管理、業務永續運作計畫規劃及管理。
二、資訊安全政策評估
(一)本作業規定應定期每年進行獨立及客觀的評估,以反映政府資訊安全管理政策、法令、技術及機關業務之最新狀況,確保資訊安全之實務作業,確實遵守資訊安全政策,以及確保資訊安全實務作業之可行性及有效性。
(二)本作業規定之成果評估以資訊安全稽核方式執行,將定期或不定期對所屬單位及人員進行稽核,內容應包括:資訊設施及系統提供者、資訊及資料擁有者、使用者、管理者、系統維護者、其他有關人員。
(三)資訊系統擁有者應定期檢討及評估各項軟、硬設備的安全性,以確保其符合安全標準;評估對象應包括作業系統之評估,以確保系統軟體及硬體的安全措施,正確及有效地執行。
(四)資訊系統使用單位應配合定期的資訊安全評估,檢討人員是否遵守機關資訊安全政策、規範及有關安全規定。
(五)資訊安全政策及規定之宣達
1.
資訊安全政策及人員在資訊安全應扮演之角色及責任等有關規定,在業務手冊中載明。
2.
員工如違反資訊安全相關規定,應依紀律程序處理。
|
