壹、作業依據
一、資通安全管理法及其相關子法。
二、個人資料保護法及其相關子法。
三、文書處理檔案管理手冊。
四、檔案法。
五、行政院及所屬各機關資訊安全管理要點。
六、勞動力發展署資訊安全政策。
貳、作業目的
勞動部勞動力發展署高屏澎東分署(以下簡稱本分署)資訊安全工作之最終目的,在於透過對人員、作業及資訊科技之管理,確保本分署資訊處理作業能安全有效地運作,並提升民眾對本分署就業服務、職業訓練等業務之滿意度,保護資訊免受內部或外部,蓄意或意外之威脅,維護資訊之機密性、完整性與可用性(簡稱CIA),由全體同仁共同努力達成下列目標:
一、確保資通系統正常運作,強化為民服務效能。
二、建立安全及可信賴之電腦化作業環境,充分保障民眾資料隱私。
三、各項服務資料處理過程與結果之完整正確。
參、作業範圍
本分署同仁、本分署之業務相關機關、各服務廠商人員及訪客。
肆、名詞定義
一、機密性:確保只有經授權的人才能存取資訊。
二、完整性:保護資訊與處理方法的正確性與完整性。
三、可用性:確保經授權的使用者在需要時可以取得資訊與使用相關設備。
四、資訊安全:保護資訊的機密性、完整性與可用性。
五、風險評估:風險分析與風險評價的整體程序。
六、風險處理:選擇與實施修正風險的措施。
七、資訊安全管理系統:Information Security Management System (ISMS)整體管理系統的一部份,乃根據風險管理的辦法所制訂,用來建立、執行、操作、監控、審查、維護與改進資訊安全
八、監控與審查:依據安全政策、目標與實際經驗,以評鑑及測量過程績效,並將結果回報給管理階層加以審查。
伍、作業權責
本政策由資訊安全長定義並審查通過後,報請分署長發布實施。各單位主管對於本政策及相關作業規範之遵循,應負監督、執行之職責。
陸、作業說明
一、本分署同仁應遵守「資通安全管理法」、「個人資料保護法」、「檔案法」、「文書處理檔案管理手冊」、「行政院及所屬各機關資訊安全管理要點」及其他資訊安全相關之法令。
二、對於本分署之資訊資產,應定期清查及適當的分類分級,並依據分類分級結果制定保護措施。
三、必須制定本分署適用之資訊風險評估方法,並依據評估結果制定風險處理計畫。
四、本分署應建立資訊安全監控、通報與應變機制,以確保資訊安全事件即時處理。
五、本分署應訂定並維護營運持續計畫並定期測試演練,以確保本分署資訊服務不間斷。
六、本分署同仁應接受與職務相關之資訊安全教育訓練,訓練內容至少應包含資訊操作之完整性與機密性確保等相關主題,並熟悉本身工作中之資訊安全職責。
七、本分署之應用程式開發應建立完善之管理程序,且應設計對資通系統之資料正確性與系統可用性控管之機制。
八、維持及改進資訊安全管理系統,監控及審查安控機制所找到的待改進事項,採取適切的矯正與持續改善措施,以持續改進資訊安全管理系統。
九、違反資訊安全之行為者,應依據相關法規或本分署懲處規定辦理。
十、本政策應依據主管機關及法令對資訊安全之要求、科技與業務之變動每年至少評估一次,並視需要修訂,以確保資訊安全實務作業之可行性及有效性。
十一、為利本分署推行資訊安全工作,應建立資訊安全組織並制定其權責及分工。
十二、本政策應以書面、電子(E-MAIL)或其他方式通知員工及與接觸本分署業務之公私機關(構)共同遵行。
柒、作業參考文件
無。
捌、實施與修正
本政策奉核定後實施,修正時亦同。