資通安全維護計畫

 

 

 

 

 

 

資通安全維護計畫

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目 錄

壹、         依據及目的... 1

貳、         適用範圍... 1

參、         核心業務及重要性... 1

一、............................................................................................... 核心業務及重要性... 1

二、............................................................................................... 非核心業務及說明... 1

肆、         資通安全政策及目標... 1

一、......................................................................................................... 資通安全政策... 2

二、......................................................................................................... 資通安全目標... 2

三、................................................................. 資通安全政策及目標之核定程序... 3

四、........................................................................... 資通安全政策及目標之宣導... 3

五、............................................................ 資通安全政策及目標定期檢討程序... 3

伍、         資通安全推動組織... 3

一、.............................................................................................................. 資通安全長... 4

二、........................................................................... 資通安全處理小組(人員)... 4

陸、         經費配置... 5

一、.............................................................................................................. 經費之配置... 5

柒、         資訊及資通系統之盤點... 5

一、.......................................................................................... 資訊及資通系統盤點... 5

二、........................................................................... 機關資通安全責任等級分級... 7

捌、         資通安全風險評估... 7

一、............................................................................................... 資通安全風險評估... 7

玖、         資通安全防護及控制措施... 7

二、................................................................................ 存取控制與加密機制管理... 8

三、.......................................................................................... 作業與通訊安全管理... 10

四、............................................................................................... 資通安全防護設備... 14

壹拾、   資通安全事件通報、應變及演練相關機制... 14

壹拾壹、.................................................................. 資通安全情資之評估及因應... 14

一、................................................................................ 資通安全情資之分類評估... 14

二、................................................................................ 資通安全情資之因應措施... 15

壹拾貳、........................................................ 資通系統或服務委外辦理之管理... 16

一、..................................................................................... 選任受託者應注意事項... 16

二、............................................. 監督受託者資通安全維護情形應注意事項... 17

壹拾參、....................................................................................... 資通安全教育訓練... 17

一、..................................................................................... 資通安全教育訓練要求... 17

二、........................................................................... 資通安全教育訓練辦理方式... 17

壹拾肆、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制... 18

壹拾伍、 資通安全維護計畫及實施情形之持續精進及績效管理機制... 18

一、................................................................................ 資通安全維護計畫之實施... 18

二、.................................................. 資通安全維護計畫實施情形之稽核機制... 18

三、............................................. 資通安全維護計畫之持續精進及績效管理... 19

壹拾陸、.................................................. 資通安全維護計畫實施情形之提出... 20

壹拾柒、............................................................................. 相關法規、程序及表單... 20

一、.......................................................................................... 相關法規及參考文件... 20

二、................................................................................................................... 附件表單... 21

 

 

 

本計畫依據「資通安全管理法」第 10 條及施行細則第 6 條訂定。

 

本計畫適用範圍涵蓋彰化縣溪州鄉成功國民小學全機關。

本機關無自行維運之資通系統,故無核心資通系統。

本機關之非核心業務及說明如下表:

非核心業務

業務失效影響說明

最大可容忍中斷時間

公文交換

電子公文無法即時送達機關,影響機關行政效率

24小時

 

為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

        1. 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
        2. 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
        3. 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本機關同仁之資通安全意識,本機關同仁亦應確實參與訓練。
        4. 針對辦理資通安全業務有功人員應進行獎勵。
        5. 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
        6. 禁止多人共用單一資通系統帳號。
        7. 機密資料檔案的讀取及複製,須符合本機關各業務單位的規定,並經該單位主管或其授權人員核可。
        8. 本政策每年應至少評估檢討一次,以反映本機關資訊安全需求、政府法令法規、外在網路環境變化及資訊安全技術等最新發展現況,以確保其對於維持營運和提供適當服務的能力。
        9. 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。必要時應告知相關單位及委外廠商,以利共同遵守。

本政策經資通安全長核准,於公告日施行,並以書面、電子或其他方式通知員工及與本機關連線作業之有關機關(構)、委外廠商,修正時亦同。