壹、目的
本政策訂定之目的在於確保臺北醫學大學(以下簡稱本校)所屬資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
貮、適用範圍
本校依實際需要及符合政府與相關法令要求建立資訊安全管理系統。為確保資訊之機密性、完整性、及可用性,本校資訊安全系統適用範圍設定為本校資訊處、網路骨幹機房及核心系統,以充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。 本校於建置資訊安全管理系統之初衷及系統執行之結果,均應將內外部單位對資訊安全方面之議題,及關注方對資訊安全管理系統之期盼與要求納入考量,並列入目標與成效評估範圍。這些資訊安全相關議題、期盼或要求,應列入風險評估及風險管理,以確保資 訊安全管理系統能達成預期效果及持續改善。
本校於風險評鑑過程中必須要能識別風險擁有者。 本校應於相關部門及層級建立資訊安全目標,並可與資訊安全政策對應或連結,且必須(1)可以量測 (2)成效量測方式 (3)需訂定完成日期 (4)需有負責人員(權責單位)。
資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。
管理事項如下:
1.資訊安全政策訂定與評估。
2.資訊安全組織之職責與分工。
3.人力資源安全管理與教育訓練。
4.資訊資產分類與管制。
5.存取控制安全。
6.密碼控制及金鑰管理。
7.實體與環境安全。
8.作業安全。
9.通訊安全。
10.資訊系統獲得、開發及維護。
11.供應商關係。
12.資訊安全事故管理。
13.營運持續管理之資訊安全層面。
14.相關法規與本校政策之符合性。
參、定義
1、資訊資產:係指為維持本校資訊業務正常運作之硬體、軟體、服務、文件及人員。
2、業務持續運作之資訊環境:係指為維持本校各項業務正常運作所需之電腦作業環境。
肆、目標
維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。
藉由全體同仁共同努力來達成下列目標:
1.保護本校業務活動資訊,避免未經授權的存取。
2.保護本校業務活動資訊,避免未經授權的修改,確保其正確完整。
3.建立跨部門之資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本校具備可供業務持續運作之資訊環境。
4.辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
5.執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
6.實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
7.本校之業務活動執行須符合相關法令或法規之要求。
伍、責任
本校之管理階層建立及審查本政策。 資訊安全管理者應透過適當之標準和程序以實施本政策。本校所有人員及委外服務廠商均須依照相關安全管理辦法以維護資訊安全政策。 本校所有人員有義務報告資訊安全事件和任何已鑑別出之弱點。 有任何危及資訊安全之行為者,應依法負擔民事、刑事及行政責任,並依本校相關規定進行懲處。
陸、審查
本政策應至少每年審查乙次,以配合相關法令、技術及業務之發展,並確保本校永續運作及提供學術網路服務之能力。