資訊安全政策宣告

親愛的朋友，感謝您蒞臨「補助原住民族長者裝置假牙審核系統」，為了讓您能夠更安心的使用「補助原住民族長者裝置假牙審核系統」所提供的各項服務，因此制訂了資訊安全政策宣告。對於「補助原住民族長者裝置假牙審核系統」如何保護系統的資訊內容，並且提供您更安心的使用各項服務，請詳細閱讀下列內容：

政策緣由

為遵循相關法令並保護行政院原住民族委員會(以下簡稱本會)資訊資產(包括資料、軟體、硬體設備等)免於因外在之威脅，或內部人員不當之管理與使用，致遭受竄改、揭露、破壞或遺失等風險，特制訂資通安全政策以作為遵循依據。

依據

本資通安全政策(以下簡稱本政策)係依據本會之任務目標與「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」等相關法令與規定而訂定。

政策說明

一、 資通安全本質
(一) 資通安全之本質分為以下三類：

1. 可用性：確保經授權的人員在需要時，均能在可接受的時間內取得相關資訊及設備。
2. 完整性：維持資訊或系統之正確與完整。
3. 機密性：確保只有經授權的人員才能存取相關資訊。

(二) 本會資通安全即為確保本會資訊資產之完整性、可用性與機密性。

二、 政策目的與說明
為達成本會之任務目標及最高管理階層對資通安全之期許與要求，確保本會資訊資產之安全，資通安全政策訂為：
(一) 確保本會相關業務資訊之機密性，防止本會敏感資訊及民眾個人資料外洩與遺失。
(二) 確保本會相關業務資訊之完整性與可用性，以正確執行本會作業與各項業務。

三、 目標
為達成上述目的，將相關目標分為定量與定性二類：

1. 定量化目標包括：
   • 確保相關資通安全措施或規範符合政策與現行法令之要求，每年至少進行一次資訊安全查核。
   • 每年至少進行一次業務永續計畫之測試及檢核。
2. 定性化目標包括：
   • 確保資訊資產受適當之保護，防止未經授權或因作業疏忽對資產所造成之損害。
   • 確保所有資通安全事件或可疑之安全弱點，皆依適當通報程序反映，並予以適當調查及處理。
   • 符合政府資通安全相關政策、規定以及相關法令要求。
   • 定期實施資通安全教育。

適用範圍

本政策適用於本會各單位。

責任劃分

為使資訊安全管理系統有效運行，各單位之權責劃分如下：

1. 本會高階主管應宣示落實資通安全之決心，以確保本會資通安全措施之實施，並責成相關單位與人員成立資訊安全執行小組，配置資通安全責任與進行有效之資源管理。
2. 資訊安全執行小組之召集人因故無法參與各項資通安全活動時由副召集人代理之。
3. 本會各單位應遵循並落實本政策之要求。
4. 所有人員(正職、行政助理與專案計畫人員)、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
5. 所有人員(正職、行政助理與專案計畫人員)皆負有通報所發現之資通安全事件或資通安全弱點之責任。

其他規定

1. 本會所有人員(正職、行政助理與專案計畫人員)違反本政策，或發生其他任何危及本會資通安全之行為，都將訴諸適當之處置程序或法律行動。
2. 本會所有人員(正職、行政助理與專案計畫人員)應瞭解於工作期間所有取得之資訊皆為本會之資產，未經允許，禁止做任何其他未授權之使用。
3. 本會與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。

修訂

本政策應至少每年評估一次，以反映及符合政府法令、技術及業務等最新發展現況，確保資通安全實務作業之有效性。