苗栗縣政府資訊安全政策 壹、 目的 為確保苗栗縣政府(以下簡稱本府)府內同仁,利用本府有形無形(軟、硬體、文件、資料和流程)資訊資產從事公務活動之機密性、完整性及可用性,達到「資訊安全,人人有責,資源共享,安全第一」,以維護本府同仁及民眾之權益,特訂定本政策。 貳、 目標 確保本府資料、系統、設備及網路安全等資訊服務之永續經營,提供合法存取之完整資訊,以保障民眾權益。 參、 適用範圍 資訊安全管理涵蓋11 項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本府帶來各種可能之風險及危害。管理事項如下: 一、 資訊安全政策制定及評估 二、 組織的資訊安全與分工 三、 資訊資產管理 四、 人力資源的安全 五、 實體與環境安全 六、 網路通訊與作業管理 七、 資訊系統存取控制八、 資訊系統取得、開發及維護 九、 資訊安全事故管理 十、 業務營運持續管理 十一、 法令法規的遵循 肆、 組織及權責 設置本府「資訊安全推動委員會」,負責政策之核定及監督、資訊安全預防及危機處理。 伍、 原則 一、 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。 二、 資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。 三、 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。 四、 應訂定營運持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。 五、 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。 六、 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。 七、 違反本政策與資訊安全相關規範,依據政府頒布之相關法規或本府懲戒規定辦理。 八、 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。 陸、 實施 一、 資訊安全政策配合管理審查會議進行資訊安全政策審核。 二、 本政策簽奉縣長核定後實施,修訂時亦同。