中華民國105年4月6日文資字第1053009700號函訂定
一、依據
本資訊安全政策係依據資通安全管理法及其子法訂定。
二、目的
本政策所稱資訊安全,係指確保本部及附屬機關資訊資產之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及法律遵循性(Compliance),並且安全、正確、可靠地運用於各項業務及決策。
三、目標
(一)維持本部及附屬機關網路、電腦及資訊系統(或網站)正常運作,降低非預期中斷發生機率。
(二)強化網路安全、防毒及防駭。
(三)防止不當及不法使用電腦系統及本部網路,並避免人為疏失意外。
(四)維護實體環境安全。
(五)建立ISMS制度,並通過第三方驗證。
(六)建立本部同仁資訊安全觀念與落實正確的資訊安全行為。
四、資安控制措施項目
(一)資訊安全政策。
(二)資訊安全之組織。
(三)人力資源安全。
(四)資產管理。
(五)存取控制。
(六)密碼學。
(七)實體及環境安全。
(八)運作安全。
(九)通訊安全。
(十)系統獲取、開發及維護。
(十一) 供應者關係。
(十二) 資訊安全事故管理。
(十三) 營運持續管理之資訊安全層面。
(十四) 遵循性。
五、本部及附屬機關如發生資安事件,各機關應依本部及國家資通安全通報應變網站規定辦理通報及處理。
六、實施與更新
適時公告本政策,提醒本部及附屬機關全體人員,執行本部及附屬機關相關業務時應遵循本部資訊安全之要求。