資訊安全政策
一、本會資訊安全政策針對以下之14點管理事項進行管控,以避免因人為疏失、自然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事之發生,對本會帶來可能之風險及危害。
- 資訊安全政策
- 資訊安全之組織
- 人力資源安全
- 資產管理
- 存取控制
- 密碼學
- 實體及環境安全
- 運作安全
- 通訊安全
- 系統獲取、開發及維護
- 供應者關係
- 資訊安全事故管理
- 營運持續管理之資訊安全層面
- 遵循性
二、詳述如下:
- 本會資訊安全政策依ISO /IEC 27001 附錄A5~A18所要求事項
- 依營運要求及相關法律與法規,提供資訊安全之管理指導方針 。
- 資訊安全政策由管理階層定義並核准,且對內部及相關外部傳達。
- 資訊安全政策應定期或發生重大變更時審查,以確保合宜性、適切性及有效性。
- 資訊安全之組織
- 建立管理框架,為有效啟動及控制資訊安全之運作。包括資訊安全工作小組及資訊安全稽核小組。
- 為降低因人為疏忽或故意之因素,導致資料或系統遭不法或不當之使用,或遭未經授權的人員竄改, 對關鍵性之資訊業務,應將資訊安全管理及執行的責任分散,分別賦予業務相關人員必要之安全責任。
- 確保遠距工作及使用行動裝置之安全 。
- 可攜式資訊設備或儲存媒體借用後返還時,借用人應確認其內之機密性資料已完全清除,避免資訊外洩之事件發生 。
- 可攜式資訊設備或儲存媒體應避免存放機密性資料,如有業務上之需求,應對機密資料進行加密,並於使用完畢後立即刪除。
- 可攜式資訊設備或儲存媒體若為個人使用時,不宜私自交換使用,以防止資料遭未授權之存取。
- 可攜式資訊設備或儲存媒體若為共用時,應於歸還前將資料刪除或移轉至個人電腦,僅保留必要 之應用程式及軟體,避免資料遭未授權之存取。
- 人力資源安全
- 確保員工及委外廠商瞭解其應承擔之責任,並適任其 角 色 。
- 確保員工及委外廠商認知並履行其資訊安全責任 。
- 將保護組織利益納入聘用變更或終止聘用過程之一部分。
- 資產管理
- 識別組織之資產並定義適當之保護責任 。
- 確保所有資產依其對組織之重要性,受到適當等級的保護 。
- 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
- 資訊設備檢修前,設備保管人應刪除機密性資訊,避免重要資訊與個人資料外洩。
- 員工於開放式空間使用個人電腦時,如暫時離開電腦,應啟用作業 系統所提供之螢幕保護程式啟動密碼保護機制,以確保操作環境與機密性資料之安全。
- 員工應自行備份重要之資料 。
- 員工於個人電腦安裝或升級軟體時,應注意新舊版本之相容性,並進行相關資料之備份,以確保作業環境之正常運作。
- 存取控制
- 依業務性質限制對資訊相關資產、設施與人員之存取控制權限 。
- 確保授權使用者得以存取,並避免系統及服務之未經授權存取 。
- 令使用者對保全其鑑別之管理資訊負責。
- 防止系統及應用遭未經授權存取。
- 本會各資訊系統因業務需求及系統設計如有包含資料庫系統規畫及管理需求,除資料庫管理者外, 須對其他系統、單位等對該資料庫之存取權限如新增、刪除、修改、查詢等進行管制,確保資料庫開發及管理維護作業之一致性原則 。
- 系統管理者並應確實瞭解資料結構,減少日後程式擴充發展及維護之困難性。
- 系統管理者依權限使用系統之功能,使用系統功能應分層授權,並限制非經授權人員更新系統資料庫。
- 系統上線時,應依系統安全性進行系統管理者與其他業務相關人員之需求,設定程式及資料檔案之存取權限。
- 系統原始程式碼應適當控制版本,並限制非經授權人員存取以避免錯誤,並保護系統原始程式碼之安全。
- 密碼學
- 確保適當及有效使用密碼學,以保護資訊之機密性、鑑別性及或完整性。
- 實體及環境安全
- 防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾 。
- 防止資產之遺失、損害、遭竊或破解,並防止組織運作中斷 。
- 運作安全
- 確保資訊處理設施之正確及安全操作 。
- 確保資訊及資訊處理設施之管理,以防範惡意軟體 。
- 資訊人員應針對惡意軟體及惡意網站採取適當之預防控制措施。
- 加強宣導有關電腦病毒及惡意程式的威脅,提升警覺性。
- 禁止使用未取得授權之軟體。
- 禁止使用來路不明或內容不確定的儲存媒體如隨身碟(USB)或光碟等。
- 應選用信譽良好、功能健全的防毒軟體 。
- 防毒軟體應定期更新病毒碼。
- 定期使用防毒軟體掃瞄系統及資料儲存媒體,以偵測有無感染電腦病毒。
- 視需要得安裝可偵測間諜軟體或木馬惡意程式之工具軟體。
- 視需要得安裝可偵測軟體遭更改之工具軟體,並偵測執行碼是否遭變更。
- 防範資料漏失。
- 確保事件之紀錄及證據之產生。
- 確保運作中系統之完整性。
- 防範對技術脆弱性之利用。
- 稽核活動應對運作中系統之衝擊降至最低。
- 通訊安全
- 確保對網路及其支援之資訊處理設施內資訊之保護。
- 保護組織內及與任何外部之間傳送資訊安全。
- 加強防火牆與入侵偵測系統之資訊安全控管 。
- 監督變更控管程序,以防止未經授權的變更。
- 資訊人員得每季檢視防火牆紀錄。
- 妥善保護系統紀錄,以防範入侵者修改系統紀錄以掩飾其行為。
- 防火牆系統與入侵偵測系統視需要進行維護、更新版本及修補程式,並即時監控。
- 防火牆與入侵偵測系統限定於本機或受限制位置登入存取 。
- 系統獲取、開發及維護
- 確保資訊安全管理係跨越整體資訊系統完整生命週期經由公共網路提供服務之資訊系統也在涵蓋範圍內 。
- 確保資訊系統開發生命週期內,設計及實作之資訊安全 。
- 確保測試用資料之保護。
- 供應者關係
- 確保對委外廠商可存取之組織資產的保護。
- 維持資訊安全及服務交付予使用者之議定等級與供應者協議一致。
- 資訊安全事故管理
- 確保資訊安全事故管理之一致性及有效作法,包括對資訊安全事件及弱點之傳達與處理 。
- 營運持續管理之資訊安全層面
- 本會於營運持續管理(Business Continuity Management, BCM)過程中,需進行重要關鍵資訊系統所在之機房或環境評估,並考量各項可能風險,藉以規劃或改善異地備援機房 (Disaster Recovery Site, DR Site),以有限資源內可達成之作為,達到緊急應變與營運持續的目標 。
- 遵循性
- 避免違反有關資訊安全相關之法律、法令、法規或契約義務,以及任何安全要求事項。
- 確保依組織政策及程序 、之運作符合資訊安全。
- 資訊安全組織
- 資訊管理推動委員會設置,依據「A-P- 06 資訊管理政策與程序 」為有效推動資訊業務、確保資訊安全並進行資訊整合,以配合本會業務之推展,依據本會捐助章程第十九條規定,設置「資訊管理推動委員會」。
- 資訊安全工作小組
- 於資訊管理推動委員會下設置資訊安全工作小組,由行政管理組 、各組推派代表與核心業務承辦人共同組成
- 資訊安全工作小組成員紀錄於「A-M- 02-01 資訊安全組織成員表」,確保任務明確指派及ISMS有效之聯繫與運作 。
- 資訊安全任務分配如下
- 資訊管理推動委員會
- ISMS 管理制度之政策的核准 。
- ISMS 系統之目標的核准與確保審查框架的建立 。
- ISMS 管理制度相關事務之資源取得、分配、協調與督導。
- 召開資訊安全管理審查會議 。
- 資訊安全管理運作的監督權責。
- 提升全員對客戶資訊安全要求、法令法規的認知。
- 資訊安全 工作小組
- ISO /IEC 27001 ISMS 的推動、維持及改善。
- 負責資訊安全管理制度相關程序文件之審查 。
- 資訊資產盤點、風險評估、風險處置、殘餘風險處理的審查。
- 相關法令、法規遵循之界定與更新。
- 緊急應變通報、災害復原系統的規劃。
- 負責持續營運計畫之制定、修訂與維護。
- 負責「A-P-26 資訊安全管理適用性聲明書管理程序 」之修訂。
- 配合資訊管理推動委員會 出席資訊安全管理審查會議。
- 資訊管理推動委員會
- 適用性聲明書
- 依據「ISO 27001 資訊安全管理系統要求」要求產出「適 用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等 變動時,資訊安全工作 小組應重新定義控制措施之適用性。
- 審查
- 本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展方向與現況,以確保本會營運持續 及資訊安全實務作業能力。
- 實施
- 資訊安全政策配合管理審查會議進行資訊安全政策審核。
- 本政策經主任委員核定後實施,修訂時亦同。