信息安全政策

信息安全政策

一、依据

(一) 奉 总统89年8月30日核定「建立我国通信息基础建设安全机制」案。

(二) 90年1月17日行政院第2718次院会通过之「建立我国通信息基础建设安全机制计画」。

(三) 92年1月28日国家资通安全会报第7次工作小组会议决议执行资通安全第二阶段推动方案。

(四) 中华民国刑法第358条、第359条、第360条、第361条、第362条及第363条等相关规定。

二、前言

随著信息化社会的来临,网络之普及与应用日趋重要,许多政府机关、学校单位、金融机构及民间企业都相继采用计算机设备。透过网络处理业务及对外提供服务,带给人们很大的进步与方便,但如果没有完善之资通安全防护措施,易遭受计算机黑客入侵或病毒感染,对于个人隐私、商业金融、公务执行、国家机密安全及社会秩序等造成严重威胁。有鉴于此,资通安全业务之推动,是一项非常重要之工作。

三、目的

资通安全机制之建立,结合专业之技术人力、良好的管理制度及完备进步的软硬件防护设备,并由事前之防范监控、危机之应变处理及重大灾害之回复,将资安事件损害降至最低。

四、组织设置

(一) 成立本网资通安全处理小组。

五、工作项目

(一) 安全预防:

  1. 建置防火墙、防毒墙、入侵侦测系统、防毒软件、弱点扫描系统、防骇软件、网络管理系统及资产管理系统等相关软硬件防护设备。
  2. 重要业务系统异地备援及计算机资料异地备份。
  3. 办理资通安全教育训练及培训资通安全技术人员。
  4. 执行网络弱点扫描、漏洞修补、更新病毒码及网络系统回复演练等工作。
  5. 区分系统安全等级,执行资通安全监控。
  6. 实施资通安全管理、网络管理及机房管理等相关安全规定。

(二) 危机处理:

  1. 透过本局资通安全通报网执行内部资通安全事件通报。
  2. 查明资通安全事件原因,确定影响范围及损害评估并执行解决办法。
  3. 上网办理资通安全通报,并研判是否请求技术服务中心技术支持。
  4. 遇重大灾害资安事件,实施紧急应变处理,启用异地备援维持重要业务继续运行,利用异地备份资料迅速回复系统。

(三) 稽核工作:

  1. 每周不定期实施资安检查工作。
  2. 每年由本网执行资安稽核工作。