資訊安全政策

資訊安全願景

強化人員認知、避免資料外洩;落實日常維運、確保服務可用。

資訊安全目標

  1. 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
  2. 保護業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
  3. 實施定期監控與資訊安全內部稽核制度,確保資訊安全管理之落實執行。
  4. 確保所提供之服務能夠維持一定水準之可用性。

緣由

本校積極推動資訊化並重視資訊安全議題,提升資訊安全推動層級,由副校長擔任本校資訊安全長一職,並由電算中心主任帶領,自2006年6月開始推動ISO 27001認證,於2007年8月1日正式取得「ISO 27001資訊安全管理」認證,成為全國各大學院校中少數率先獲得ISO 27001認證通過的學校。自取得證書歷經2013年10月 ISO27001 重大改版迄今,依照ISO27001規範,每三年換證一次,每年並委託公正第三方機構定期追查。

目的

依據行政院所屬各機關資訊安全管理要點及相關規定,確保電子計算機中心(以下簡稱本中心)主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範,確保本中心業務資訊之機密性、完整性與可用性。

範圍

本中心資訊安全管理制度所涵蓋範圍皆適用之,並涵蓋 14 項資訊安全管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。管理事項包含1.資訊安全政策。2.資訊安全組織。3.人力資源安全。4.資產管理。5.存取控制。6.密碼。7.實體與環境安全。8.運作安全。9.通訊安全。10.資訊系統取得、開發及維護。11.供應者關係。12.資訊安全事故管理。13.營運持續管理之資訊安全層面。14.遵循性。

組織及權責

設置「資訊安全推動委員會」,建立資訊安全管理制度並推動資訊安全相關事項,由電算中心主任擔任召集人。另設「資訊安全工作小組」及「資訊安全稽核小組」,分別負責規劃與執行各項資訊安全作業及相關教育訓練,擬定稽核計畫評估資訊安全管理制度之落實與遵行情形,並追蹤改善方案之執行成果。

實施

本政策經「資訊安全推動委員會」核定後實施,修訂時亦同。

資訊安全宣導事項

  1. 資安宣導:密碼換新、程式更新、下載要當心。
  2. 辦公環境內必須使用本校提供之資訊設備、網路,及規定之軟體。
  3. 上班期間不應連結非公務需要之網站,並避免連結惡意網站或釣魚網站,如發現異常連線,請通知資安窗口。
  4. 不得使用公務電子信箱帳號登記做為非公務網站的帳號,如社群網站、電商服務等。
  5. 公務資料傳遞及聯繫必須使用公務電子郵件帳號,不得使用非公務電子郵件傳送或討論公務訊息。
  6. 即時通訊軟體使用應注意不得傳送公務敏感資料。
  7. 機密性資料文件如以電子方式傳遞時,需編碼加密。
  8. 使用影印機、印表機、傳真機後應立即將資料取走。
  9. 下班後或離開辦公室,業務相關資料應收置櫃內或卷宗夾,重要資料勿直接置放個人桌面。
  10. 帳號密碼必須妥善保存,個人密碼至少設定8碼,每年變更一次,如有外洩疑慮,除儘速更換密碼外,並應通知資安窗口。
  11. 設定電腦螢幕保護裝置,以密碼保護,閒置時間超過10分鐘即啟動。
  12. 委外作業如有涉及個人資料處理時,應與廠商簽訂保密相關條款或契約並用印。
  13. 有資安疑慮或異常時,應即時通報資安窗口。
  14. 應遵守個人資料保護法及資通安全管理法。
  15. 資安窗口:電算中心網路組
    聯絡電話:04-23590121分機30223、30232、30238
    電子郵件:randall@thu.edu.twerick@thu.edu.twkala@thu.edu.tw

個人資料保護推動網站( http://pip.thu.edu.tw/ )