資訊安全政策宣導

壹、政策緣由

為遵循相關法令並保護農業部(以下簡稱本部)資訊資產(包括資料、軟體、硬體設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂本部資通安全政策以做為遵循依據。

貳、依據

本資通安全政策(以下簡稱本政策)係依據本部之任務目標與「農業部及所屬各機關資訊安全管理要點」、「農業部及所屬各機關資訊安全管理規範」等相關法令與規定而訂定。

參、政策說明
  • 一、資通安全本質
    • (一) 資通安全之本質分為以下三類:
      • 可用性:確保經授權的人員在需要時,均能在可接受的時間內取得相關資訊及設備。
      • 完整性:維持資訊或系統之正確與完整。
      • 機密性:確保只有經授權的人員才能存取相關資訊。
    • (二) 本部資通安全即為確保本部資訊資產之完整性、可用性與機密性。
  • 二、政策目的與說明
    • 為達成本部之任務目標及最高管理階層對資通安全之期許與要求,確保本部資訊資產之安全,本部之資通安全政策訂為:
    • (一)確保本部相關業務資訊之機密性,防止本部敏感資訊及民眾個人資料外洩與遺失。
    • (二)確保本部相關業務資訊之完整性與可用性,以正確執行本部作業與各項業務。
  • 三、目標
    • 為達成上述目的,將相關目標分為定量與定性二類:
    • (一) 定量化目標包括:
      • 確保相關資通安全措施或規範符合政策與現行法令之要求,每年至少進行一次查核。
      • 每半年至少進行一次業務永續計畫之測試及檢核。
    • (二) 定性化政策包括:
      • 確保資訊資產受適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。
      • 確保所有資通安全事件或可疑之安全弱點,皆依適當通報程序反映,並予以適當調查及處理。
      • 符合政府資通安全相關政策、規定以及相關法令要求。
      • 定期實施資通安全教育。
肆、適用範圍

本政策適用於本部各單位。

伍、責任劃分

為使資訊安全管理系統有效運行,各單位之權責劃分如下:

  • 為確保管理階層實際支持各項資通安全措施,本部高階主管(主任委員、副主任委員與主任秘書)應宣示落實資通安全之決心,並責成相關單位與人員成立資通安全處理小組,以配置資通安全責任與進行有效之資源管理。
  • 資通安全處理小組之召集人因故無法參與各項資通安全活動時由副召集人代理之。
  • 本部各單位應透過適當程序落實本政策之要求。
  • 所有人員(含約聘僱人員)、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
  • 所有人員(含約聘僱人員)皆負有通報所發現之資通安全事件或資通安全弱點之責任。
陸、其他規定
  • 一、本部所有人員(含約聘僱人員)違反本政策,或發生其他任何危及本部資通安全之行為,都將訴諸適當之處置程序或法律行動。
  • 二、本部所有人員(含約聘僱人員)應瞭解於工作期間所有取得之資訊皆為本部之資產,未經允許,禁止做任何其他未授權之使用。
  • 三、與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
柒、修訂

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。