國立南投高級中學資通安全政策
1 目的
為確保《國立南投高級中學》(以下簡稱本校)所屬之資通資產的機密性、完整性、可用性及法律遵循性, 導入資訊安全管理系統,強化本校資通安全管理,保護資通資產免於遭受內、外部蓄意或意外之威脅, 維護資料、系統、設備及網路之安全,提供可靠之資訊服務,訂定本政策。
2 依據
- 2.1資通安全管理法及子法
- 2.2個人資料保護法及施行細則
- 2.3教育體系資通安全暨個人資料管理規範
3 適用範圍
3.1
本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。
3.2
資通安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素, 導致資料不當使用、洩漏、竄改、破壞等情事發生。
- 3.2.1資通安全政策訂定與評估。
- 3.2.2資通安全組織。
- 3.2.3人力資源安全。
- 3.2.4資產管理。
- 3.2.5存取控制。
- 3.2.6密碼學(加密控制)。
- 3.2.7實體及環境安全。
- 3.2.8運作安全。
- 3.2.9通訊安全。
- 3.2.10系統獲取、開發及維護。
- 3.2.11供應者關係。
- 3.2.12資通安全事故管理。
- 3.2.13營運持續管理之資通安全層面。
- 3.2.14法律遵循性。
4 目標
維護本校資通資產之機密性、完整性與可用性,並保障使用者資料隱私。
4.1定性目標
- 4.1.1符合政府資通安全相關政策、規定及相關法令要求。
- 4.1.2適時因應法令與技術之變動,調整資通安全維護之內容。
4.2定量目標
- 4.2.1防範惡意電子郵件進行社交工程演練。
- 4.2.2定期實施資通安全教育訓練。
- 4.2.3針對非核心且對外服務之資通系統,每年辦理一次備份資料回復測試紀錄。
4.3指標考量項目
- 4.3.1所需配置之人員、預算、設備技術與程序表單。
- 4.3.2活動或事項負責人員。
- 4.3.3活動或事項預計完成時間。
- 4.3.4管理目標是否達成之評估方式。
5 責任
- 5.1本校依據資通安全組織成立資通安全委員。
- 5.2管理階層應積極參與及支持資通安全管理。
- 5.3全體人員應遵守安全管理程序。
- 5.4通報資通安全事件或弱點。
- 5.5違規將追究相關責任。
