一、 資通安全政策
為使本館業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),依據本府資通安全政策如下,以供全體同仁共同遵循:
(一) 安全:確保資訊不遭竊取、竄改、滅失或遺漏。
(二) 正確:資訊內容及處理過程精準無誤。
(三) 迅速:對資安事件之處理、通報與回復能快速完成。
二、 資通安全目標
(一) 量化型目標
1. 保障資訊之機密性及防止非法存取
非法存取資訊之事件,每年發生次數不得超過4件。
2. 確保資產之可用性、完整性
重要伺服器及網路設備因資安事件導致服務停頓,每半年小於4次(含)以下,每次服務中斷時間不超過12小時。
3. 確保同仁對資訊安全有一定認知
每人每年依資通安全管理法及相關規定,執行資通安全相關教育訓練及宣導資訊安全政策及目標。
4. 確保符合資通安全法律遵行性要求
權責人員每年實施法律遵循性查核次數至少1次以上。
(二) 質化型目標:
1. 適時因應法令與技術變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,確保其機密性、完整性及可用性。
2. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
3. 提升人員資安防護意識、有效偵測與預防外部攻擊等。