1、资讯安全政策-经济部.doc

PAGE PAGE 1 行政院及所屬各機關資訊安全管理規範 88/11/16行政院研考會（88）會訊字第05787號函頒 壹、資訊安全政策制定及評估 一、資訊安全政策制定 （一）應依據電腦處理個人資料保護法、國家機密保護辦法與行政院及所屬各機關資訊安全管理要點等有關法令，衡酌機關業務需求，參考本規範訂定資訊安全政策，研訂資訊作業之安全水準，並以書面、電子或其他方式通知員工及與機關連線作業之有關機關（構）、廠商。 （二）制訂資訊安全政策，應至少包括下列事項： 1、資訊安全之定義、資訊安全之目標及資訊安全之範圍等。 2、資訊安全政策之解釋及說明，資訊安全之原則、標準，以及員工應遵守之規定，包括： （1）政府法令及契約對機關資訊安全之要求及規定。 （2）資訊安全教育及訓練之要求。 （3）電腦病毒防範之要求。 （4）業務永續運作計畫。 3、推行資訊安全工作之組織、權責及分工。 4、員工應負的一般性及特定的資訊安全責任。 5、發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。 二、資訊安全政策之評估 （一）制訂之資訊安全政策，應定期進行獨立及客觀的評估，以反映政府資訊安全管理政策、法令、技術及機關業務之必威体育精装版狀況，確保資訊安全之實務作業，確實遵守資訊安全政策，以及確保資訊安全實務作業之可行性及有效性。 （二）資訊安全政策評估作業，可責由具有專業技術及知識之內部稽核單位、獨立客觀的資深主管人員，或是委請公正超然的民間專業組織或團體，進行資訊安全政策執行成果之評估。 （三）應定期對所屬單位及人員進行資訊系統及技術應用之安全評估，以確保其遵守資訊安全政策及規定。 1、應列入資訊安全評估的對象如下： （1）資訊設施及系統提供者。 （2）資訊及資料擁有者。 （3）使用者。 （4）管理者。 （5）系統維護者。 （6）其他有關人員。 2、資訊系統擁有者應配合定期的資訊安全評估，檢討相關人員是否遵守機關資訊安全政策、規範及有關安全規定。 3、應定期檢討及評估各項軟、硬設備的安全性，以確保其符合機關訂定的安全標準；評估對象應包括作業系統之評估，以確保系統軟體及硬體的安全措施，正確及有效地執行。 4、如專業人力及經驗不足，得委請民間專業組織團體或學者專家之協助。 5、系統安全評估應由具有專業知識及豐富經驗的系統工程人員，在權責主管人員的監督下，以人工的方式執行，或是以自動化的軟體工具執行安全檢查，產生技術評估報告，以利日後解讀分析。 （四）資訊安全政策及規定之宣達 1、資訊安全政策及人員在資訊安全應扮演之角色及責任等有關規定，應在工作說明書或有關作業手冊中載明。 2、工作說明書或作業手冊規定之資訊安全政策、說明及規定，應包括執行及維護資訊安全政策的一般性責任規定、保護特定資訊資產的特別責任規定，以及執行特別安全程序及作為的特別責任規定。 3、員工如違反資訊安全相關規定，應依紀律程序處理。 貳、資訊安全組織及權責 資訊安全組織 （一）應指定副首長或高層主管人員，負責推動、協調及督導下列資訊安全管理事項 ： 1、資訊安全政策之核定、核轉及督導。 2、資訊安全責任之分配及協調。 3、資訊資產保護事項之監督。 4、資訊安全事件之檢討及監督。 5、其他資訊安全事項之核定。 （二）得視需要成立跨部門資訊安全推行小組，推動下列事項： 1、跨部門資訊安全事項權責分工之協調。 2、應採用之資訊安全技術、方法及程序之協調研議。 3、整體資訊安全措施之協調研議。 4、資訊安全計畫之協調研議。 5、其他重要資訊安全事項之協調研議。 資訊安全組織權責 （一）資訊安全責任分配 1、應訂定保護個人資訊資產及執行特定資訊安全作業，有關人員應負之責任。 2、應訂定有關人員在資訊安全作業應扮演之角色，責任分配之一般性指導原則，以作為各單位之權責分工依據。 3、每一系統應指定系統擁有者，並課予必要的安全責任。 4、應明定每一管理者應負的資訊安全責任。 5、應訂定每一系統的資訊資產項目，並訂定必要的安全程序及措施。 6、應指定每一項資訊資產及資訊安全程序的管理人員，並以書面、電子或其他方式告知其責任。 7、應訂定資訊安全之授權規定、授權等級及授權程序等，並以書面、電子或其他方式記錄之。 （二）資訊安全分工原則 1、資訊安全管理之分工原則如下： （1）資訊安全相關政策、計畫、措施及技術規範之研議，以及安全技術之研究、建置及評估相關事項，由資訊單位負責辦理。 （2）資料及資訊系統之安全需求研議、使用管理及保護等事項，由業務單位負責辦理。 （3）資訊機密維護及稽核使用管理事項，由政風單位會同相關單位負責辦理。 2、設有稽核單位者，稽核使用管理事項由稽核單位會同政風單位辦理。 3、未設置資訊及政風單位者，由機關首長指定適當的單位及人員負責辦理資訊安全管理事項。 4、業務性質特殊者