文字大小:大中小
:::

 資訊安全政策

 

中華民國97年12月18日青字第0970510020號函


壹、 政策緣由

為遵循相關法令並保護教育部青年發展署(以下簡稱本署)資訊資產(包括資料、軟體、硬體設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂本署資訊安全政策以做為遵循依據。 

 

貳、 依據

本資訊安全政策(以下簡稱本政策)係依據本署之任務目標與「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」等相關法令與規定而訂定。

 

參、 政策說明

一、 資訊安全本質

(一) 資訊安全之本質分為以下三類: 

可用性:確保經授權的人員在需要時,均能在可接受的時間內取得相關資訊及設備。

完整性:維持資訊或系統之正確與完整。

機密性:確保只有經授權的人員才能存取相關資訊。

(二) 本署資訊安全即為確保本署資訊資產之完整性、可用性與機密性。

二、 政策目的與說明

為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資訊資產之安全,本署之資訊安全政策訂為:

(一) 確保本署相關業務資訊之機密性,防止本署敏感資訊及民眾個人資料外洩與遺失。

(二) 確保本署相關業務資訊之完整性與可用性,以正確執行本署作業與各項業務。

三、 目標

為達成上述目的,以資訊安全本質為基準,訂定相關安全目標,同時爲有效量測資訊安全目標是否達成,每年須經資訊安全會報會議審核年度資訊安全之具體量化管理指標並說明量測之標準。

相關目標分為定量與定性二類:

(一) 定量化目標包括:

確保相關資訊安全措施或規範符合政策與現行法令之要求,每年至少進行一次查核。

每半年至少進行一次業務持續計畫之測試及檢核。

(二) 定性化政策包括:

確保資訊資產受適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。

確保所有資訊安全事件或可疑之安全弱點,皆依適當通報程序反映,並予以適當調查及處理。

符合政府資訊安全相關政策、規定以及相關法令要求。

定期實施資訊安全教育。

 

肆、 適用範圍

本政策適用於本署各單位。

 

伍、 責任劃分

為使資訊安全管理系統有效運行,各單位之權責劃分如下:

為確保管理階層實際支持各項資訊安全措施,本署高階主管(主任委員、副主任委員與主任秘書)應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全會報,以配置資訊安全責任與進行有效之資源管理。

資訊安全會報之召集人因故無法參與各項資訊安全活動時由副召集人代理之。

本署各單位應透過適當程序落實本政策之要求。

本署所有人員(含員工及委外公司派駐本署服務之人員)、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。

本署所有人員(含員工及委外公司派駐本署服務之人員)皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。

 

陸、 其他規定

本署所有人員(含員工及委外公司派駐本署服務之人員)違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。

本署所有人員(含員工及委外公司派駐本署服務之人員)應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許,禁止做任何其他未授權之使用。

與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。

 

柒、 修訂

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

 

 

 

教育部青年發展署(另開新視窗) 青年壯遊臺灣(另開新視窗)YPU青年政策大聯盟(另開新視窗)RICH職場體驗網(另開新視窗)IYOUTH青少年國際交流資訊網(另開新視窗)教育部全球資訊網(另開新視窗) 青年資源讚