圖資處資訊安全政策

單位：關於

• 資訊安全願景

強化人員認知、避免資料外洩；落實日常維運、確保服務可用。

• 資訊安全目標

1. 辦理資訊安全教育訓練，推廣人員資訊安全之意識與強化其對相關責任之認知。
2. 保護業務活動資訊，避免未經授權的存取與修改，確保其正確完整。
3. 實施定期監控與資訊安全內部稽核制度，確保資訊安全管理之落實執行。
4. 確保所提供之服務能夠維持一定水準之可用性。

• 緣由

本校積極推動資訊化並重視資訊安全議題，自2006年6月開始推動ISO 27001認證，於2007年8月1日正式取得「ISO 27001資訊安全管理」認證，成為全國各大學院校中少數率先獲得ISO 27001認證通過的學校。自取得證書歷經2013年10月 ISO27001 重大改版迄今，依照ISO27001規範，每三年換證一次，每年並委託公正第三方機構定期追查。

• 目的

確保圖資處(以下簡稱本處)主機、網路設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險，並建立資通安全管理規範，確保本處業務資訊之機密性、完整性與可用性。

• 範圍

本處資訊安全管理制度所涵蓋範圍皆適用之，並涵蓋 14 項資訊安全管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校帶來各種可能之風險及危害。管理事項包含1.資訊安全政策。2.資訊安全組織。3.人力資源安全。4.資產管理。5.存取控制。6.密碼。7.實體與環境安全。8.運作安全。9.通訊安全。10.資訊系統取得、開發及維護。11.供應者關係。12.資訊安全事故管理。13.營運持續管理之資訊安全層面。14.遵循性。

• 資訊安全宣導事項

1. 資安宣導：密碼換新、程式更新、下載要當心。
2. 辦公環境內必須使用本校提供之資訊設備、網路，及規定之軟體。
3. 上班期間不應連結非公務需要之網站，並避免連結惡意網站或釣魚網站，如發現異常連線，請通知資安窗口。
4. 不得使用公務電子信箱帳號登記做為非公務網站的帳號，如社群網站、電商服務等。
5. 公務資料傳遞及聯繫必須使用公務電子郵件帳號，不得使用非公務電子郵件傳送或討論公務訊息。
6. 即時通訊軟體使用應注意不得傳送公務敏感資料。
7. 機密性資料文件如以電子方式傳遞時，需編碼加密。
8. 使用影印機、印表機、傳真機後應立即將資料取走。
9. 下班後或離開辦公室，業務相關資料應收置櫃內或卷宗夾，重要資料勿直接置放個人桌面。
10. 帳號密碼必須妥善保存，個人密碼至少設定8碼，每年變更一次，如有外洩疑慮，除儘速更換密碼外，並應通知資安窗口。
11. 設定電腦螢幕保護裝置，以密碼保護，閒置時間超過10分鐘即啟動。
12. 委外作業如有涉及個人資料處理時，應與廠商簽訂保密相關條款或契約並用印。
13. 有資安疑慮或異常時，應即時通報資安窗口。
14. 應遵守個人資料保護法及資通安全管理法。
15. 資安窗口：圖資處資安網路組

> 聯絡電話：04-23590121分機30223、30232、30238
>
> 電子郵件：[email protected]、[email protected]、[email protected]

個人資料保護推動網站( https://isms.thu.edu.tw/ )