資訊安全政策

:::全文檢索

　　網站導覽　 English　PDA　兒童網站　常見問答　訂閱電子報

★ 臺鐵局盛大辦理「環保兩鐵低碳活動」，包用 ... 2008/5/16

資訊安全政策

:::

│目的│目標│聲明│適用範圍│組織與職責│實施方式│實施原則│

實施原則

本局資訊安全政策的實施原則，就大原則而言，計有：有責任性、認知、工作倫理、全方位、相稱、整合、適時、審查、以及公正等九原則，分述如后：

有責任性原則（Accountability Principle）

資訊安全的有責任性（Accountability）與責任義務（Responsibility）必須清楚地定義與確認。

認知原則（Awareness Principle）

相關人員必須能存取適用的資訊與資訊系統相關的安全規章、標準、公約或安控機制，以及瞭解資訊安全相關威脅（Threat）與脆弱點（Vulnerability）。

工作倫理原則（Ethics Principle）

資訊使用與資訊系統安全的施行必須合乎工作倫理。

全方位原則（Multidisciplinary Principle）

有關資訊系統與資訊安全的規章、標準、公約與安控機制，必須涵蓋所有相關單位。

相稱原則（Proportionality Principle）

資訊安全的控管機制需與資訊外洩、竄改、阻斷服務式攻擊等所造成的風險相稱。

整合原則（Integration Principle）

資訊安全的相關規章、標準、公約與安控機制，彼此是同等重要的，彼此之間要整合，同時要與本局內其他的政策與作業程序整合。

適時原則（Timeliness Principle）

各處室均要適時地通力合作，以預防或回應資訊系統與其安全威脅破壞事件。

審查原則（Assessment Principle）

要定期審查資訊與資訊系統的風險。

公正原則（Equity Principle）

當訂定政策與選取、施工以及實施安控機制時，需要尊重個人的權利與尊嚴。

就執行面而言，實施原則可有下列數項

一、教育與認知（Education and Awareness）
主管必須與相關人員溝通此政策以確保全局同仁均有相當認知，而教育訓練的內容可包括標準、基準點、作業程序、指導方針、責任與義務、相關的施行衡量標準與失敗的後果。
二、有責任性（Accountability）
主管必須有資訊服務的所有步驟紀錄，以確保同仁們能對自己行為負責。紀錄內容包括新增、修改、複製、刪除以及其他相關資訊。另外對所有重大事件要能加註每種使用層級之個人的責任義務、日期與時間。
三、資訊管理（Information Management）
主管需經常對資訊分類、評價、設定敏感度與重要性之等級，並要對此類資訊定位與賦予責任。
四、環境管理（Environment Management）
主管需針對儲存、傳送與運用資訊與資訊資產的實體環境加裝設備以防制其遭受到的內／外部風險。
五、人員資格（Personnel Qualifications）
為了有效實施資訊資產與其相關資訊系統的安控機制，主管必須建立與驗證相關人員之人格特質以及技術能力。
六、系統完整性（System Integrity）
主管確定提供本局業務所需的各種系統與應用系統均已建置、保存與受到保護。
七、資訊系統生命週期（Information Systems Life Cycle）
主管須確保系統生命週期各個階段都列入安控範圍內。
八、存取控管（Access Control）
主管需建置適當的控管機制，以平衡存取資訊資產與其相關資訊系統所應對的風險。
九、業務持續運作與備援計劃（Operational Continuity and Contingency Planning）
主管需做規劃讓相關資訊系統可以支援本局業務持續運作的需求。
十、資訊風險管理（Information Risk Management）
主管需確保資訊安控機制與相關資產的價值及其可能遭受到的威脅／脆弱點平衡。
十一、網路與基礎設施之安全性（Network and Infrastructure Security）
當建置網路安控機制時，要考慮已使用的全球性基礎設施的衝擊。
十二、資訊安全在法律、規則與契約上的需求（Legal , Regulatory, and Contractual
Requirements of Information Security）
主管必須逐步認知與提出關於資訊資產在法律規章與契約上的需求。
十三、工作倫理的實務（Ethical Practices）
當主管在訂定政策及選取、執行與實施安控機制時都要尊重個人的權利與尊嚴。

更新日期:2008/11/18

:::.

問卷調查 | 志工人力招募 | 新手上路 | 相關連結 | 員工專區