財團法人原住民族文化事業基金會
資訊安全政策
壹、 目的
為使本臺(會)業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循。
貳、 政策要求
一、 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
二、 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
三、 防護未經授權的修改以保護資訊及資通系統之完整性。
四、 確保經授權之使用者當需要時能使用資訊及資通系統。
五、 符合法令與法規要求。
六、 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
七、 落實資通安全教育訓練,以提高員工之資訊安全意識。
八、 落實人員辦理業務涉及資通安全事項之獎懲機制。
九、 建置網路運作與營運管理機制,控管網路存取強化網路安全,以及統籌分配與運用資源。
十、 確保本臺(會)所提供傳播服務之機密性、完整性與可用性,以提供用戶穩定與安全之傳播服務。
十一、落實使用者資料及用戶隱私資料之蒐集、儲存、處理、利用與網路傳輸安全保護措施,以確保用戶資料保護與隱私權益。
參、 資通安全目標
一、 量化型目標
(一) 核心資通系統可用性達 95%以上。(除正式公告停機不受限制之外,中斷時數/總運作時數≤5%)
(二) 發生資通安全事件時,未依規定時間進行通報及處理之事件數為0件。
(三) 未遵循資通安全責任等級應辦事項之事項為0件。
二、 質化型目標
(一) 適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
(二) 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
(三) 提升人員資安防護意識、有效偵測與預防外部攻擊。
肆、 責任
一、 管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
二、 本臺(會)全體人員、委外服務廠商與訪客等皆應遵守本政策。
三、 本臺(會)全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
四、 任何危及資訊安全與個人資料保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本臺(會)之相關規定進行議處。
伍、 實施與修正
一、 本政策及目標經資通安全長核定後實施,修正時亦同。
二、 本政策及目標應每年定期或於發生重大資通安全事件時,於資通安全管理審查會議中檢討其適切性,並適時進行修正。