跳到主要內容區塊
勞動部因應疫情協助專區
本分署資訊安全政策
發布單位

秘書室

發布日期

110-12-23

檢核日期

111-05-13

點閱人氣

93


                            資訊安全政策

 

壹、作業依據

一、資通安全管理法及其相關子法。

二、個人資料保護法及其相關子法。

三、文書處理檔案管理手冊。

四、檔案法。

五、行政院及所屬各機關資訊安全管理要點。

六、勞動力發展署資訊安全政策。

貳、作業目的

勞動部勞動力發展署高屏澎東分署(以下簡稱本分署)資訊安全工作之最終目的,在於透過對人員、作業及資訊科技之管理,確保本分署資訊處理作業能安全有效地運作,並提升民眾對本分署就業服務、職業訓練等業務之滿意度,保護資訊免受內部或外部,蓄意或意外之威脅,維護資訊之機密性、完整性與可用性(簡稱CIA),由全體同仁共同努力達成下列目標:

一、確保資通系統正常運作,強化為民服務效能。

二、建立安全及可信賴之電腦化作業環境,充分保障民眾資料隱私。

三、各項服務資料處理過程與結果之完整正確。

參、作業範圍

本分署同仁、本分署之業務相關機關、各服務廠商人員及訪客。

肆、名詞定義

一、機密性:確保只有經授權的人才能存取資訊。

二、完整性:保護資訊與處理方法的正確性與完整性。

三、可用性:確保經授權的使用者在需要時可以取得資訊與使用相關設備。

四、資訊安全:保護資訊的機密性、完整性與可用性。

五、風險評估:風險分析與風險評價的整體程序。

六、風險處理:選擇與實施修正風險的措施。

七、資訊安全管理系統:Information Security Management System (ISMS)整體管理系統的一部份,乃根據風險管理的辦法所制訂,用來建立、執行、操作、監控、審查、維護與改進資訊安全

八、監控與審查:依據安全政策、目標與實際經驗,以評鑑及測量過程績效,並將結果回報給管理階層加以審查。

伍、作業權責

本政策由資訊安全長定義並審查通過後,報請分署長發布實施。各單位主管對於本政策及相關作業規範之遵循,應負監督、執行之職責。

陸、作業說明

一、本分署同仁應遵守「資通安全管理法」、「個人資料保護法」、「檔案法」、「文書處理檔案管理手冊」、「行政院及所屬各機關資訊安全管理要點」及其他資訊安全相關之法令。

二、對於本分署之資訊資產,應定期清查及適當的分類分級,並依據分類分級結果制定保護措施。

三、必須制定本分署適用之資訊風險評估方法,並依據評估結果制定風險處理計畫。

四、本分署應建立資訊安全監控、通報與應變機制,以確保資訊安全事件即時處理。

五、本分署應訂定並維護營運持續計畫並定期測試演練,以確保本分署資訊服務不間斷。

六、本分署同仁應接受與職務相關之資訊安全教育訓練,訓練內容至少應包含資訊操作之完整性與機密性確保等相關主題,並熟悉本身工作中之資訊安全職責。

七、本分署之應用程式開發應建立完善之管理程序,且應設計對資通系統之資料正確性與系統可用性控管之機制。

八、維持及改進資訊安全管理系統,監控及審查安控機制所找到的待改進事項,採取適切的矯正與持續改善措施,以持續改進資訊安全管理系統。

九、違反資訊安全之行為者,應依據相關法規或本分署懲處規定辦理。

十、本政策應依據主管機關及法令對資訊安全之要求、科技與業務之變動每年至少評估一次,並視需要修訂,以確保資訊安全實務作業之可行性及有效性。

十一、為利本分署推行資訊安全工作,應建立資訊安全組織並制定其權責及分工。

十二、本政策應以書面、電子(E-MAIL)或其他方式通知員工及與接觸本分署業務之公私機關(構)共同遵行。

柒、作業參考文件

無。

捌、實施與修正

本政策奉核定後實施,修正時亦同。