3. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內 服務以工作小時計)。
肆、 資通安全政策及目標 一、 資通安全政策
為使本機關業務順利運作,防止資訊或資通系統受未經授權之 存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並 確保其機密性(Confidentiality)、完整性(Integrity)及可用性
(Availability),依據臺南市政府資訊安全政策如下,以供全體 同仁共同遵循:
1. 安全:確保資訊不遭竊取、竄改、滅失或遺漏。
2. 正確:資訊內容及處理過程精準無誤。
3. 迅速:對資安事件之處理、通報與回復能快速完成。
二、 資通安全目標
1. 適時因應法令與技術之變動,調整資通安全維護之內容,以避 免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、
破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可 用性。
2. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險 之威脅。
三、 資通安全政策及目標之核定程序
資通安全政策由本機關簽陳資通安全長核定。
四、 資通安全政策及目標之宣導
1. 本機關之資通安全政策及目標應每年透過教育訓練、內部會 議、張貼公告等方式,向機關內所有人員進行宣導。
2. 本機關應每年向利害關係人(例如 IT 服務供應商、與機關連線作 業有關單位)進行資安政策及目標宣導。
五、 資通安全政策及目標定期檢討程序
資通安全政策及目標應定期於資通安全管理審查會議中檢討其 適切性。
7
伍、 資通安全推動組織 一、 資通安全長
依本法第11條之規定,本機關擇請 教務主任 兼任本機關資通安 全長,負責督導機關資通安全相關事項,其任務包括:
1. 資通安全管理政策及目標之核定、核轉及督導。
2. 資通安全責任之分配及協調。
3. 資通安全資源分配。
4. 資通安全防護措施之監督。
5. 資通安全事件之檢討及監督。
6. 資通安全相關規章與程序、制度文件核定。
7. 資通安全管理年度工作計畫之核定
8. 資通安全相關工作事項督導及績效管理。
9. 其他資通安全事項之核定。
二、 資通安全推動組織
(一) 本機關設置「資通安全推動小組」負責督導機關資通 安全相關事項,為推動本機關之資通安全相關政策、
落實資通安全事件通報及相關應變處理,由資通安全 長召集人員代表成立資通安全推動小組,其任務宜包 括:
1. 跨部門資通安全事項權責分工之協調。
2. 應採用之資通安全技術、方法及程序之協調研議。
3. 整體資通安全措施之協調研議。
4. 資通安全計畫之協調研議。
5. 其他重要資通安全事項之協調研議。
(二) 分工及職掌
本機關之資通安全推動小組依下列分工進行責任分組,並依 資通安全長之指示負責下列事項,本機關資通安全推動小組 分組人員名單及職掌應列冊,並適時更新之:
8
1. 資通安全推動小組,其工作內容得參考下列事項 (1) 資通安全政策及目標之研議。
(2) 訂定機關資通安全相關規章與程序、制度文件,並確 保相關規章與程序、制度合乎法令及契約之要求。
(3) 依據資通安全目標擬定機關年度工作計畫。
(4) 傳達機關資通安全政策與目標。
(5) 其他資通安全事項之規劃。
(6) 資通安全技術之研究、建置及評估相關事項。
(7) 資通安全相關規章與程序、制度之執行。
(8) 資訊及資通系統之盤點及風險評估。
(9) 資料及資通系統之安全防護事項之執行。
(10) 資通安全事件之通報及應變機制之執行。
(11) 其他資通安全事項之辦理與推動。
(12) 每年定期召開資通安全管理審查會議,提報資通安全 事項執行情形。
陸、 專職(責)人力及經費配置
一、 專職(責)人力及資源之配置
1. 本機關依資通安全責任等級分級辦法之規定,屬資通安全責 任等級 D 級,其分工如下。
(1) 資通安全認知與訓練業務,負責推動資通安全教育訓練 等業務之推動。
(2) 資通安全防護業務,資通安全防護設施建置及資通安全 事件通報及應變業務之推動。
(3) 資通安全管理法法遵事項業務,負責本機關對所屬公務 務機關或所管特定非公務機關之法遵義務執行事宜。
2. 本機關之承辦單位於辦理資通安全業務時,如資通安全人力 或經驗不足,得洽請相關學者專家或專業機關(構)提供顧 問諮詢服務。
3. 本機關負責重要資通系統之管理、維護、設計及操作之人 員,應妥適分工,分散權責,若負有機密維護責任者,應簽
9
屬書面約定,並視需要實施人員輪調,建立人力備援制度。
4. 本機關之首長及各級業務主管人員,應負責督導所屬人員之 資通安全作業,防範不法及不當行為。
5. 專業人力資源之配置情形應每年定期檢討,並納入資通安全 維護計畫持續改善機制之管理審查。
二、 經費之配置
1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本 機關之資通安全政策及目標,並提供建立、實行、維持及持 續改善資通安全維護計畫所需之資源。
2. 各單位如有資通安全資源之需求,應配合機關預算規劃期程 向資通安全推動小組提出,由資通安全推動小組視整體資通 安全資源進行分配,並經資通安全長核定後,進行相關之建 置。
3. 資通安全經費、資源之配置情形應每年定期檢討,並納入資 通安全維護計畫持續改善機制之管理審查。
柒、 資訊及資通系統之盤點 一、 資訊及資通系統盤點
本機關每年辦理資訊及資通系統資產盤點,依管理責任指定對 應之資產管理人。相關事項本機關未訂者得參考引用 ISMS-02-06 資訊資產管理規範」要求辦理。
二、 機關資通安全責任等級分級
依據教育部臺教資(四)第1070202157號函文,本校為公立高級 中等以下學校,且配合資訊資源向上集中計畫,核心資訊系統 均由上級或監督機關兼辦或代管, 其資通安全責任等級為 D 級。
捌、 資通安全風險評估 一、 資通安全風險評估
1. 本機關應每年針對資訊及資通系統資產進行風險評估,若配 合資訊資源向上集中計畫,資訊系統由上級或監督機關兼辦 或代管,則不需進行。
10
2. 執行風險評估時應參考行政院國家資通安全會報頒布之最新
「資訊系統風險評鑑參考指引」,並依其中之「詳細風險評鑑 方法」進行風險評估之工作。
3. 相關事項本機關未訂者得參考引用 ISMS-02-01 風險評鑑與管 理規範」要求辦理。
4. 本機關應每年依據資通安全責任等級分級辦法之規定,分別 就機密性、完整性、可用性、法律遵循性等構面評估自行或 委外開發之資通系統防護需求分級。
二、 核心資通系統及最大可容忍中斷時間
本校配合資訊資源向上集中計畫,核心資訊系統均由上級或監 督機關兼辦或代管,不再另行訂定。
玖、 資通安全防護及控制措施
本機關依據前章資通安全風險評估結果、自身資通安全責任等 級之應辦事項及核心資通系統之防護基準,採行相關之防護及 控制措施如下:
一、 資訊及資通系統之管理 (一) 資訊及資通系統之保管
1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適 切分級,並持續更新以確保其正確性。
2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或 備份。
3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適 當之存取控制政策。
(二) 資訊及資通系統之使用
1. 本機關同仁使用資訊及資通系統前應經其管理人授權。
2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事 項,並負對應之責任。
3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資 訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設 備上抺除。
4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機
11
關之相關資通安全要求,且未經授權不得任意複製資訊。
5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使 用之規則。
(三) 資訊及資通系統之刪除或汰除
1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該 等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉或 備份。
2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏 性資訊及具使用授權軟體已被移除或安全覆寫。
3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,
或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避 免僅使用標準刪除或格式化功能。
二、 存取控制與加密機制管理 (一) 網路安全控管
1. 本機關應定期檢視防火牆政策是否適當,並適時進行防火牆 軟、硬體之必要更新或升級。若為向上集中管理,則由上級單 位統一辦理更新與升級。
2. 對於通過防火牆之來源端主機 IP 位址、目的端主機 IP 位址、來 源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時 間、存取時間以及採取的行動,均應予確實記錄。
3. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳 細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌 紀錄,並檢討執行情形。
4. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電 腦及網路通訊等相關設備。
5. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳送。
(2) 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無
(2) 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無