資訊安全政策

計算機及資訊網路中心資訊安全政策

1.目的
本政策遵循本校「國立中興大學資訊安全政策」,規範國立中興大學計算機及資訊網路中心(以下簡稱本中心)資訊安全管理制度,以確保本中心管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求,進而保障全校教職員工生之權益。
 
2.適用範圍
本中心員工、接觸本中心業務資料之外機關人員、委外服務提供廠商人員及訪客。

3.名詞定義
3.1. 機密性(Confidentiality):使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
3.2. 完整性(Integrity):保護資產的準確度(Accuracy)和完全性(Completeness)的性質。
3.3. 可用性(Availability);經授權個體因應需求之可存取及可使用的性質。
3.4. 資訊安全:係避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織結構和軟硬體功能等,以確保本中心資訊資產受到妥善保護。
3.5. 資訊資產:凡本中心作業流程中使用之資訊資產,如內部人員、外部人員、紙本文件、電子文件、網路服務、電腦應軟體、應用系統、電腦硬體、網路設備、環控系統、建築保護設施與便利設施等皆屬之。
 
4.   權責
設置本中心「資訊安全管理委員會」,負責政策之核定及監督、資訊安全預防及危機處理。
 
5.要求 事項
5.1. 資訊安全管理涵蓋11項管理事項
避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本中心帶來各種可能之風險及危害。管理事項如下:
1.資訊安全政策制定及評估。
2.組織的資訊安全與分工。
3.資產管理。
4.人力資源的安全。
5.實體與環境安全。
6.通訊與作業管理。
7.存取控制。
8.資訊系統取得、開發及維護。
9.資訊安全事故管理。
10. 營運持續管理。
11.遵循性。
5.2. 管理階層承諾
5.2.1. 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
5.2.2. 重要資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密(例rar)及身分鑑別機制,以加強資訊資產之安全。
5.2.3. 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。
5.2.4. 應訂定營運持續計畫並定期演練,以確保重要系統、業務於資安事故發生時能於預定時間內恢復作業。
5.2.5. 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。
5.2.6. 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
5.2.7. 違反本政策與資訊安全相關規範,依相關法規或本校懲戒規定辦理。
5.2.8. 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。
 
6.修訂
6.1. 管理階層審查
6.1.1. 確保「資訊安全管理系統」實務運作之可用性、安全性及有效性。本政策每年依業務變動、技術發展及風險評鑑的結果或配合政府資訊安全管理要求、法令、技術及最新業務發展現況至少評估或修訂一次。
 
7.施行
7.1. 本政策須經「資訊安全管理委員會」召開管理審查會議進行審核,核定後實施,修訂時亦同。