資安政策
資安政策
壹、說明
NII 產業發展協進會(以下簡稱本會)為保護核心業務相關資訊資產 之安全(資訊資產包括資料、系統、設備等),免於因外在之威脅,
或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風 險,特制訂資訊安全政策(以下簡稱本政策)。

貳、目的
保護本會管理之資訊資產安全,免於因內部或外部之蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險。

參、適用範圍
本政策適用於本會全體同仁、往來廠商,以及所有相關資訊資產之安全管理。

肆、定義
資訊安全之本質大致可歸為以下 3 類:
一、 機密性-Confidentiality: 確保只有經授權的人才可以取得資訊,避免資訊洩露。
二、 完整性-Integrity: 確保資訊不受未經授權的竄改與資訊處理方法的正確性。
三、 可用性-Availability: 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。

除了以上 3 項基本性質外尚可依業務狀況考量驗證性 (authenticity)、可歸責性 (accountability)、不可否認性 (non-repudiation)或可靠性 (reliability),其說明如下:
一、 驗證性-Authenticity: 確保使用者登入時有適當的驗證程序。
二、可歸責性-Accountability: 確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
三、 不可否認性-Non-repudiation: 確保使用者無法否認於系統上完成的作業。
四、 可靠性-Reliability: 確保作業執行皆有一致結果。

伍、權責說明
一、 本會資訊安全管理小組負責本政策之審核及修訂。
二、 本會全體同仁及往來廠商均應遵守本政策。

陸、資訊安全政策
一、 確保本會業務相關資訊之正確及完整,提高行政效能與品質。
二、 確保本會業務相關資訊設備之可用性,提供資訊服務業務之所需。
三、 確保本會業務相關資訊之機密性,保障本會機密與隱私。
四、 配合政府資訊安全政策之推動,提昇資訊安全防護能力。
五、 有效管理組織風險,達成業務持續運作之目標。

柒、資訊安全管理指標
為達成上述目的,本會將相關指標分為定量與定性二類,並於每年度管審會議中提出檢討與討論。
(一) 定量化指標包括:
1. 確保資訊作業服務達全年上班時間 98%以上之可用性。
2. 確保因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事,每年不得超過5次,每次不得超過8 個工作小時。
3. 確保相關之資訊安全措施或規範符合現行法令之要求(每年至少查核一次)。
4. 維護、測試業務持續運作計畫之可行性(每年至少測試一次)。
5. 應依其職務、責任提供全體同仁資訊安全相關訓練(每年至少執行一次)。
6. 建立內部資訊資產風險評估作業,每年至少進行一次完整風險評估。
(二) 定性化指標包括:
1. 加強內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護。
2. 確保資訊在傳遞過程中,不因故意或無意透露給未經授權的第三者。
3. 確保所有資訊安全意外事故或可疑之安全弱點,均依循通報機制逐級反應,予以調查及處理。
4. 凡作業環境有重大變動時,則應重新檢討資訊安全機制及相關作業流程。

捌、資訊安全責任
一、 資訊安全管理小組應定期召開管理審查會議,審核本政策之修訂,以確保本政策符合現行需求。
二、 本會高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
三、 本會應定期提供全體同仁資訊安全訓練課程,提昇人員資訊安全認知。
四、 本會全體同仁皆須應遵守本會資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
五、 本會全體同仁若未遵守本政策或發生任何違反本政策之行為,將依個案提報主管會議議處。
六、 本會所有委外廠商皆須簽署保密協議書,並遵守本政策,以及相關程序之規定,不得未經授權使用或濫用本會之各類資訊資產。

玖、資訊安全政策之修訂及公告
本政策應由資訊安全管理小組每年定期或因組織、業務、法令或環境等因素之變動,予以適當修訂,並呈執行長核准後公告實施。

回頁首
NII首頁
網站地圖 資安政策 隱私權政策 聯絡方式  English
NII財團法人中華民國國家資訊基本建設產業發展協進會
104 台北市中山區松江路317號7樓 Email: nii@nii.org.tw Tel: 02-2508-2353 Fax: 02-2507-3507
Copyright ©NII產業發展協進會。本站所登載的文章係屬本會版權所有,未取得本會書面同意不得做片面、全面使用,包括拷貝、列印、轉載於任何媒體。