跳到主要內容區

本校資通安全政策

壹、目的

台南應用科技大學(以下簡稱本校)為建構本校資通安全環境,強化資通系統及各項資通訊設備、網路通訊安全,避免因人為疏失、蓄意破壞或自然災害等風險,遭致資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,而影響電腦資訊系統正常運轉或損及全校教職員工生之權益,特訂定本政策。

貳、適用範圍

  1. 實施範圍
    本校全體教職員工及使用本校資訊資源或資訊業務委外服務之廠商人員。
  2. 驗證範圍
    圖書與資訊中心(以下簡稱本中心)網路骨幹管理、伺服主機管理、校務行政系統維運管理及機房維運管理。

參、權責

  1. 資訊安全組織
    為統籌本校資訊安全管理事宜,委由圖書與資訊中心(以下簡稱本中心)成立「資訊安全推動暨個人資料推動委員會」負責本政策之審核及資訊安全管理制度之推動事宜。

肆、名詞定義

伍、資訊安全政策

  1. 遵守資訊安全法規,建置符合國家或國際標準之資訊安全管理制度。
  2. 成立跨部門之資訊安全管理組織,負責資訊安全管理制度之建立、推動、監督審查及持續改善。
  3. 建立資訊安全風險管理機制,定期進行風險評估及風險處理,降低潛在風險。
  4. 積極辦理資安人才培訓及資安教育訓練。
  5. 落實委外資訊安全監督管理。
  6. 強化機敏資料及個人隱私資料存取保護措施。
  7. 保護及運用智慧財產,尊重合法版權軟體,嚴禁安裝使用非法軟體。
  8. 確保在可接受的最低營運水準下持續提供關鍵之資通訊服務。
  9. 布建資安防禦設施及定期檢測機制,防止駭客入侵。
  10. 透過事前準備、事中應處、事後改善建立完整通報及應變管理機制。
  11. 落實「安全系統發展生命週期」管理,導入「資通系統防護基準」。
  12. 定期實施資訊安全稽核,確保資訊安全制度得以持續、有效實施。

陸、政策說明

  1. 本校全體人員於日常作業中應確實遵守「個人資料保護法」、「電子簽章法」、「著作權法」、「刑法第36章」及其他資訊安全相關之法令,並參照資通安全管理法及其子法要求,推動資通安全管理,以資通安全責任等級分級辦法就管理面、技術面及認知與訓練面研提規劃推動之策略及擬定相關績效指標,建立符合最新CNS /ISO 27001標準之資訊安全管理制度,及落實執行。
  2. 本校由校長擔任資安長並成立成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度等事項之協調、研議,並負責資訊安全管理制度之建立、推動、監督審查及持續改善。
  3. 建立資訊安全風險管理機制,確定風險接受準則,每年定期進行風險評估,因應資通安全情勢變化,檢討資通安全風險管理之有效性,並採取相應措施,降低潛在風險。
  4. 本校全體人員應依角色及職能為基礎,針對不同層級人員,視實際需要辦理專業及通識資訊安全教育訓練,促使全體人員瞭解資訊安全的重要性,各種可能的安全風險,以提高資訊安全意識並熟悉工作中之資訊安全職責,促其遵守資訊安全規定。
  5. 資通系統之建置、維運、資通服務委外,依契約監督和審查承商所提供之服務,評估與稽核廠商資安控管績效。
  6. 進行資訊處理時,若含有個人資料,應依據個人資料保護法及相關規定審慎處理,不私自蒐集或洩漏業務資訊,非公務用途嚴禁調閱使用。
  7. 本校全體人員應使用具合法版權軟體,避免上網下載來路不明之軟體。
  8. 本校應訂定與維護組織營運持續計畫並定期測試演練,確保核心資訊服務不中斷。
  9. 本校參考資通安全責任等級C級之非公務機關應辦事項技術面建制資通安全防護設施,並定期辦理安全性檢測。
  10. 訂定本校資通安全事件通報、應變處理規範,包含事件通報流程,事件應變之事前準備、事中應處、事後調查改善,並定期實施演練。
  11. 本校資通系統獲取、開發、維護導入「安全系統發展生命週期(SSDLC)」管理,將資通系統防護基準納入各階段安全要求。
  12. 每年定期執行內部稽核,確認本校資訊安全的各項管制目標、控制措施、運作過程以及各項程序是否皆符本校之資訊安全政策、規範及程序。
  13. 違反本政策與本校之資訊安全相關規範,依相關法規或本校懲戒規定辦理。

柒、審查

  1. 本政策應依據主管機關及法令對資訊安全之要求與科技及業務之變動,每年至少評估一次並視需要進行修訂,以確保資訊安全實務作業之可行性及有效性。
  2. 本校應考量內、外部議題及利害相關者要求,定訂適當之資訊安全管理制度驗證範圍,經由管理階層審核、確認後實行。
  3. 資訊安全管理制度驗證範圍應定期或不定期視內、外部環境之變更或執行狀況,如:法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素,於管理審查會議進行檢視調整。
內部議題 外部議題 利害相關者 利害相關者要求 備註
組織政策、目標 主管機關要求 主管機關 各項法令、法規  
政府單位要求 政府單位 各項法令、法規  
組織文化 N/A 內部人員 組織內部規範  
相關資源需求(包括:人力、技術、預算等) N/A 內部人員 訓練  
高階主管 績效(KPI)  
資訊安全事件、資訊技術 客戶 合約內容(SLA)  
供應商 合約內容  
ISO國際標準 ISO國際組織 ISO 27001  
第三方稽核單位  
 

捌、實施

  1. 本政策經「資訊安全推動暨個人資料推動委員會」審議通過,奉資安長核定後實施,修正時亦同。
  2. 本政策應以書面、電子(E-MAIL)或其他方式通知本校相關人員、接觸本校資訊資源或資訊業務委外服務之廠商人員共同遵循。