壹、目的
為確保國立臺灣大學教務處 (以下簡稱「本處」) 所屬之資訊資產的機密性、完整性及可用性,並保障使用者資料隱私,以符合相關法規之要求,免於遭受內、外部蓄意或意外之威脅,並衡酌本處之業務需求,特訂定本政策。
貳、範圍
本處及業務相關單位。
參、組織全景之鑑別
- 本處應決定與本處營運目的相關,且會影響資訊安全管理制度 (ISMS) 預期成果之內部與外部議題,鑑別出與本處所提供服務相關之利害關係者,以及這些利害關係者對本校的需求與期望,並讓資通安全長知悉以取得共識,用以客觀決定本處ISMS之範圍。
- 應制定組織全景鑑別管理作業程序,用以系統化地鑑別本處之核心業務與核心業務相關之利害關係者,以及這些利害關係者對本校核心業務之需求與期望,並判別若無法達到需求與期望會對本校造成何種程度之衝擊,並將上述評估及分析結果供資通安全長用以決策ISMS之導入及驗證範圍。
肆、目標
- 保護本處業務安全,避免未經授權的存取,以確保資訊資產的機密性,並保障使用者資料隱私。
- 保護本處業務安全,避免未經授權的修改,以確保資訊資產的正確性與完整性。
- 依照ISO 27001要求,建立本處ISMS,進行風險管理,落實品質管理循環 (PDCA) 精神,以持續改善ISMS之有效性。
- 建立本處業務永續運作計畫,以確保本處業務服務之持續運作。
- 確保本處各項業務服務之執行須符合相關法規之要求。
伍、責任
- 本處應成立資訊安全組織統籌資訊安全事項推動。
- 管理階層應積極參與及支持ISMS,提供相關資源,並分配適當權責。
- 適用範圍內之組織與人員皆應遵守本政策、智慧財產權及個人資料保護法。
- 適用範圍內之組織與人員均有責任透過適當機制,通報資訊安全事件或弱點。
陸、審查
- 本政策應定期每年審查,檢視落實狀況,以確保有效性,並符合相關法規、主管機關及本處資訊安全要求。
- 當組織或業務發生重大改變時應主動進行審查。
柒、發佈
本政策應定期公告週知,確保適用範圍內之組織、人員及利害關係團體 (Interested parties) 瞭解相關規定。
捌、實施
本政策經「資訊安全委員會」核定後實施。