財政部國有財產局臺灣中區辦事處暨所屬分處資訊安全政策

本處97年4月24日台財產中資字第09770000181號函頒訂

本處98年4月24日98年度第1次資通安全小組會議修正

壹、依據

一、行政院88年9月15日台88經字第34735號函頒「行政院及所屬各機關資訊安全管理要點」。

二、財政部91年6月24日台財資字第91895856號函頒「財政部暨所屬機關(構)資訊安全管理準則」。

三、財政部國有財產局97年4月16日台財產局資字第09770000521號函頒「財政部國有財產局資訊安全政策」。

貳、目的

為強化資訊安全管理，建立安全及可信賴之電子化政府，確保資料、系統、設備、及網路安全，保障民眾權益，訂定本政策。

參、資訊安全定義

所謂資訊安全係採行安全防護手段、措施或機制，避免各項資訊資產遭不當使用、洩漏、竄改、竊取、破壞等事故威脅，以確保業務持續運作，並降低事故影響及危害業務運作之損害程度。

肆、資訊安全目標

一、確保業務資訊之機密性、完整性及可用性。

二、確保資訊業務運作之有效性及持續性。

三、確保資安措施符合政策及法令要求。

四、建立「資訊安全人人有責，資安防護由我開始，運用資訊安全第一」之觀念。

伍、資訊安全原則及標準

一、本處暨所屬分處各項資訊安全管理規定，必須遵守政府相關法規（如：刑法、國家機密保護法、專利法、商標法、著作權法、電腦處理個人資料保護法等）之規定。

二、本處暨所屬分處人員應接受與職務相關之資訊安全教育訓練，並熟悉本身工作中之資訊安全職責。

三、應建立資訊安全監控、通報與應變機制，以確保資訊安全事件即時處理。

四、應訂定業務持續運作計畫，並定期測試演練，以確保資訊服務不中斷。

五、本政策每年至少評估一次，並視需要修正，以反映政府資訊安全管理政策、法令、技術及業務等最新發展現況，確保資訊安全實務作業之可行性及有效性。

六、本政策應以書面、電子或其他方式通知本處暨所屬分處人員及與本處暨所屬分處業務往來之公私機關（構）、提供資訊服務之廠商共同遵行。

陸、資訊安全範圍

有關單位及人員應就下列資訊安全之事項訂定相關管理規範或實施計畫，並定期評估實施成效：

一、人員管理及資訊安全教育訓練。

二、電腦系統安全管理。

三、網路安全管理。

四、系統存取控制管理。

五、系統發展及維護安全管理。

六、資訊資產安全管理。

七、實體及環境安全管理。

八、業務永續運作計畫管理。

九、資訊安全稽核。

前項資訊安全之事項，本局已有訂定管理規範者，得據以執行並評估實施成效，免再訂定相關管理規範。

柒、資訊安全組織

成立「資通安全處理小組」，負責制定、定期評估資訊安全政策，統籌資訊安全計畫、資源調度等事項之協調、推動及研議。

捌、資訊安全權責分工

一、資訊安全相關政策、計畫、措施及技術規範之研議，以及安全技術之研究、建置及評估相關事項，由資訊室負責辦理。

二、資料及資訊系統之安全需求研議、使用管理及保護等事項，由相關業務單位負責辦理。

三、資訊機密維護及稽核使用管理事項，由政風室會同相關單位負責辦理。

玖、責任

一、本處暨所屬分處人員須遵守國家機密保護法、電腦處理個人資料保護法、行政院及所屬各機關資訊安全管理要點等規定及本處暨所屬分處各項作業規範等資訊安全相關法令之規定。

二、各單位主管對於本政策及相關作業規範之遵循，負監督、執行之責。

拾、獎懲

一、本處暨所屬分處執行資訊安全作業有功人員，依「財政部國有財產局人員獎懲標準表」辦理。

二、本處暨所屬分處人員違反資訊安全規定者，依「財政部國有財產局人員獎懲標準表」辦理；有「公務員懲戒法」第2條所定情事，應付懲戒者，依該法第19條規定辦理；有觸犯「刑法」之嫌疑者，應予移送司法機關調查；有涉及國家賠償事件者，應依「國家賠償法」等相關法律追究損害賠償責任。

三、非本處暨所屬分處人員違反資訊安全規定時，依相關法律規定追究民刑事責任。

拾壹、資訊安全事件緊急處理機制

為及時解決資訊安全事件，應訂定本處暨所屬分處資通訊安全事件通報及應變作業緊急處理機制。

拾貳、附則

本政策奉  處長核定後實施，修正時亦同。