一、資通安全政策
本所資通安全政策如下,供全體同仁共同遵循:
1.應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
2.應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
3.應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本所同仁之資通安全意識,全體同仁亦應確實參與訓練。
4.針對辦理資通安全業務有功人員應進行獎勵。
5.勿開啟來路不明或無法明確辨識寄件人之電子郵件。
6.禁止多人共用單一資通系統帳號。
7.應使用具合法版權軟體,禁止下載安裝未經授權使用的檔案或軟體。
8.每年固定辦理資通安全稽核計畫,確實維護資通安全之有效性。
9.禁止將非公務及存有個人機敏資料之檔案放置於共用槽內。
10.禁止利用本機關網路從事不法、不當之情事。
11.不得使用點對點(Peer-to-Peer,P2P)分享軟體,並將不定期派員檢視稽核。
二、資通安全目標
(一)量化型目標
1.除因網路或電力中斷等事由,致無法依上級或監督機關及行政院所指定或認可之方式通報外,應於知悉資通安全事件後一小時內上級或監督機關及行政院所指定或認可之方式,進行事件通報。
2.電子郵件社交工程演練之郵件開啟率及附件點閱率分別低於5%及2%。
(二)質化型目標:
1.適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
2.達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
3.提升人員資安防護意識、有效偵測與預防外部攻擊等。
4.機密性目標: 確保經過授權的使用者才能存取資料。
5.完整性目標:確保資訊內容與處理方法為正確與一致性。
6.可用性目標:確保經授權的使用者在需要時可取得資訊與使用設備。
三、資通安全政策及目標之核定程序
資通安全政策由本所秘書室資訊人員簽陳資通安全長核定。
四、資通安全政策及目標之宣導
本所之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
五、資通安全政策及目標定期檢討程序
資通安全政策及目標應定期於資通安全推動小組會議中檢討其適切性。