【本會公告】本會「資訊安全政策」
2024/08/23

財團法人原住民族文化事業基金會
資訊安全政策

壹、    目的

為使本臺(會)業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循。

貳、    政策要求

一、    有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
二、    保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
三、    防護未經授權的修改以保護資訊及資通系統之完整性。
四、    確保經授權之使用者當需要時能使用資訊及資通系統。
五、    符合法令與法規要求。
六、    評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
七、    落實資通安全教育訓練,以提高員工之資訊安全意識。
八、    落實人員辦理業務涉及資通安全事項之獎懲機制。
九、    建置網路運作與營運管理機制,控管網路存取強化網路安全,以及統籌分配與運用資源。
十、    確保本臺(會)所提供傳播服務之機密性、完整性與可用性,以提供用戶穩定與安全之傳播服務。
十一、落實使用者資料及用戶隱私資料之蒐集、儲存、處理、利用與網路傳輸安全保護措施,以確保用戶資料保護與隱私權益。

參、    資通安全目標

一、    量化型目標
(一)    核心資通系統可用性達 95%以上。(除正式公告停機不受限制之外,中斷時數/總運作時數≤5%) 
(二)    發生資通安全事件時,未依規定時間進行通報及處理之事件數為0件。
(三)    未遵循資通安全責任等級應辦事項之事項為0件。

二、     質化型目標
(一)    適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
(二)    達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
(三)    提升人員資安防護意識、有效偵測與預防外部攻擊。

肆、    責任

一、    管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
二、    本臺(會)全體人員、委外服務廠商與訪客等皆應遵守本政策。
三、    本臺(會)全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
四、    任何危及資訊安全與個人資料保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本臺(會)之相關規定進行議處。

伍、    實施與修正

一、    本政策及目標經資通安全長核定後實施,修正時亦同。
二、    本政策及目標應每年定期或於發生重大資通安全事件時,於資通安全管理審查會議中檢討其適切性,並適時進行修正。