101年2月15日大事字第101000399號函 一、金門縣大同之家為強化資訊安全管理,確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵,或任何不利之行為與企圖,特訂定本政策。 二、建立資訊資產清單,並明定擁有者,依資訊資產等級差異,執行風險評鑑作業,針對高於可接受水準之風險應進行風險管理,以有效降低風險,並持續落實各項管控措施。 三、人員錄用應進行必要之考核並簽署相關作業規定,員工須參與資訊安全教育訓練,以提昇資訊安全防護之認知觀念。 四、嚴禁同仁私自串接外部網路與本家內部網路,內外部網路應設置防火牆安全設施保護之,重要設備應建置適當之備援或監控機制,維持其可用性,同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。 五、同仁個人持有之帳號、密碼與權限應善盡保管與使用責任,管理人員每年應定期清查覆核,重要系統運作資料應定期備份並執行異地疏存。 六、嚴禁使用P2P及BT軟體進行資料搜尋或檔案下載。 七、電子郵件機密性資料及文件不得以電子郵件或其他電子方式傳送。 八、辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。 九、採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。 十、設計適當之資訊安全事件與弱點的回應及通報程序,以能適當對資訊安全事件做立即反應,避免傷害擴大。 十一、應訂定業務永續運作計畫,定期演練並持續調整更新。 十二、同仁日常作業應落實確認覆核機制,維持資料正確性,主管人員應督導資安遵行制度落實情況,強化同仁資安認知及法令觀念。 十三、若未遵守本政策而使個人資料及重要公務資料外洩致損害發生,使用者除應負民事及刑事法律責任外,亦將追究行政及損害賠償之責。 十四、本資訊安全政策奉 主任核可後實施,修正時亦同。 |