新竹區域網路中心(清華大學 計算機與通訊中心)資訊安全政策 |
機密等級:一般 文件編號:RNC-NTHU-A-001 版 次:2.2 發行日期:2022.08.01 |
2.2 資訊安全組織。 2.3 人力資源安全。 2.4 資產管理。 2.5 存取控制。 2.6 密碼學(加密控制)。 2.7 實體與環境安全。 2.8 運作安全。 2.9 通訊安全。 2.10 資訊系統取得、開發及維護。 2.11 供應者關係。 2.12 資訊安全事故管理。 2.13 營運持續管理之資訊安全層面。 2.14 遵循性。 本中心之內部人員、委外服務廠商與訪客皆應遵守本政策。 3.2 建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。 3.3 因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本校同仁之資通安全意識,本校同仁亦應確實參與訓練。 3.4 強固核心資通系統之韌性,確保機關業務持續營運。 3.5 本中心各項業務活動之執行須符合相關法令或法規要求。 3.6 針對辦理資通安全業務有功人員應進行獎勵。 4.2 管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。 4.3 每年透過教育訓練、內部會議、張貼公告等方式,向校內所有人員進行宣導,並檢視資訊安全管理制度執行成效。 4.4 本中心內部人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件和任何已鑑別出之弱點。 4.5 任何危及資訊安全之行為依本校之相關規定進行議處,必要時得視情節輕重追究其民事、刑事及行政責任。 5.1 量化型指標 5.1.1 確保本中心機房維運服務達全年上班時間(或調整為法定工作日)98%(含)以上之可用性。 5.1.2 確保滿足各核心業務系統達全年上班時間(或調整為法定工作日)之服務可用率98%。 5.1.3 核心業務系統因人為或作業疏失及未經授權的存取之資安事故,每年合計不得超過四件。 5.1.4 為確保本中心資訊安全措施或規範符合現行法令、法規之要求,應每年至少需執行內部稽核乙次。 5.1.5 應適當保護本中心資訊資產之機密性與完整性,每年至少需進行資訊資產盤點及風險評鑑作業乙次。 5.1.6 為確保本中心資訊業務服務得以持續運作,全部核心資通系統每二年辦理業務永續運作計畫演練乙次。 5.2 質化性指標 5.2.1 定期審查本中心資通安全管理制度,以確保資訊安全工作之推展。 5.2.2 應符合主管機關之要求,依員工職務及責任提供適當之資訊安全相關訓練。 5.2.3 應加強本中心資訊機房設施之環境安全,採取適當之保護及權限控管機制。 5.2.4 應加強存取控制,防止未經授權之不當存取,以確保本中心資訊資產受適當的保護。 5.2.5 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。 5.2.6 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當之通報機制向上反應,並予以適當調查及處理。 7.2 本政策經資安與個資管理委員會核定後實施,修訂時亦同。 |