跳到主要內容區塊
苗栗縣政府資訊安全政策

壹、 目的
為確保苗栗縣政府(以下簡稱本府)府內同仁,利用本府有形無形(軟、硬體、文件、資料和流程)資訊資產從事公務活動之機密性、完整性及可用性,達到「資訊安全,人人有責,資源共享,安全第一」,以維護本府同仁及民眾之權益,特訂定本政策。

貳、 目標
確保本府資料、系統、設備及網路安全等資訊服務之永續經營,提供合法存取之完整資訊,以保障民眾權益。

參、 適用範圍
資訊安全管理涵蓋11 項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本府帶來各種可能之風險及危害。管理事項如下:
一、 資訊安全政策制定及評估
二、 組織的資訊安全與分工
三、 資訊資產管理
四、 人力資源的安全
五、 實體與環境安全
六、 網路通訊與作業管理
七、 資訊系統存取控制八、 資訊系統取得、開發及維護
九、 資訊安全事故管理
十、 業務營運持續管理
十一、 法令法規的遵循

肆、 組織及權責
設置本府「資訊安全推動委員會」,負責政策之核定及監督、資訊安全預防及危機處理。

伍、 原則
一、 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
二、 資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。
三、 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。
四、 應訂定營運持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。
五、 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。
六、 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
七、 違反本政策與資訊安全相關規範,依據政府頒布之相關法規或本府懲戒規定辦理。
八、 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。

陸、 實施
一、 資訊安全政策配合管理審查會議進行資訊安全政策審核。
二、 本政策簽奉縣長核定後實施,修訂時亦同。
  • 聯絡人:吳伯浚
  • 資料來源:第三課
  • 聯絡資訊:037-994101#309

一、資通安全政策

為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 應成立資通安全組織,統籌資通安全政策之推動與管理事項。
  2. 管理階層應積極參與資通安全相關活動,提供對資通安全業務之支持。
  3. 管理階層對本政策及相關規範負督導執行之責。
  4. 除本機關同仁外,凡接觸業務資料之外部人員、委外服務廠商及訪客亦應遵守本政策及相關規範。
  5. 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
  6. 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
  7. 應強固核心資通系統之韌性,確保機關業務持續營運。
  8. 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本機關同仁之資通安全意識,本機關同仁亦應確實參與訓練。
  9. 應針對資通安全管理法及依法建立之相關作業規定落實度,管考人員施行狀況並提供對應獎勵或懲處。
  10. 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
  11. 禁止多人共用單一資通系統帳號。