 |
壹、說明
NII產業發展協進會(以下簡稱本會)為保護核心業務相關資訊資產之安全(資訊資產包括資料、系統、設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂資訊安全政策(以下簡稱本政策)。
|
|
貳、適用範圍
一、 本政策適用於本會全體同仁、往來廠商,以及所有相關資訊資產之安全管理。
二、 資訊安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本會造成各種可能之風險及危害,各領域分述如下:
- 資訊安全政策。
- 資訊安全之組織。
- 人力資源安全。
- 資產管理。
- 存取控制。
- 密碼學。
- 實體及環境安全。
- 運作安全。
- 通訊安全。
- 系統獲取、開發及維護。
- 供應者關係。
- 資訊安全事故管理。
- 營運持續管理之資訊安全層面。
- 遵循性。
|
|
參、定義
資訊安全之本質大致可歸為以下3類:
一、機密性-Confidentiality:
確保只有經授權的人才可以取得資訊,避免資訊洩露。
二、完整性-Integrity:
確保資訊不受未經授權的竄改與資訊處理方法的正確性。
三、可用性-Availability:
確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。
除了以上3項基本性質外尚可依業務狀況考量驗證性 (authenticity)、可歸責性 (accountability)、不可否認性 (non-repudiation)或可靠性 (reliability),其說明如下:
一、驗證性-Authenticity:
確保使用者登入時有適當的驗證程序。
二、可歸責性-Accountability:
確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
三、不可否認性-Non-repudiation:
確保使用者無法否認於系統上完成的作業。
四、可靠性-Reliability:
確保作業執行皆有一致結果。
|
|
肆、權責
一、本會高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
二、本會全體同仁皆須參與資訊安全訓練課程,提昇人員資訊安全認知。
三、本會全體同仁皆應遵守本會資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
四、本會全體同仁若未遵守本政策或發生任何違反本政策之行為,將依個案提報主管會議議處。
五、本會全體同仁如有專案管理需求時,應將資訊安全管理項目納入考量,包括:確認專案範圍、規模大小及工作量,並識別專案整體風險;專案進行過程中,應定期進行追蹤,以確保專案滿足資訊安全要求,必要時,應指派專人進行專案追蹤管理。
六、本會所有委外廠商皆須簽署保密協議書,並遵守本政策,以及相關程序之規定,不得未經授權使用或濫用本會之各類資訊資產。
七、本會全體同仁及往來廠商均應遵守本政策。
|
|
伍、資訊安全政策
保護本會管理之資訊資產安全,確保其具機密性、完整性、可用性,以因應業務運作需要,免於因各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失,確保提供安全穩定之資訊服務。
|
|
陸、資訊安全目標
一、確保本會業務相關資訊及設備之機密性,保障本會機密與隱私,防止未授權之存取。
二、確保本會業務相關資訊之正確及完整性,提高服務效能與品質。
三、確保本會業務相關資訊設備之可用性,提供資訊服務業務之所需。
四、有效管理組織風險,達成業務持續運作之目標。
五、持續改善資訊安全管理制度。
|
|
柒、資訊安全目標之達成與評量
為達成上述資訊安全目標,訂定資訊安全目標達成計畫與量測指標,每年於管理審查會議,檢視量測結果。
|
|
捌、資訊安全政策之修訂及公告
本政策由資訊安全暨個人資料保護管理小組每年定期或因應組織、業務、法令或環境等因素之變動,予以適當修訂,並呈執行長核准後公告實施。
|
|
更新日期:2015/11/04。
|
