文件格式-大葉大學電子計算機中心.docVIP

文件編號： AS-01-001 文件名稱：資訊安全政策 出 版 者：大葉大學-電算中心 機密等級：一般 使用本政策前，請先至ISMS管理系統確認版次。本文件歷次變更記錄： 版次 修訂日 修訂者 說 明 核准者 V1.0 97/9/22 江國位 初版發行 吳清沂 V1.1 97/11/07 江國位 修正資通安全事件每年發生率低於8次 新增「教育體系管理規範」 吳清沂 V2.0 98.12.09 江國位 一、參照行政院資通安全會報及教育部公文之條文修正，資安等級分級應依照可用性、機密性、完整性做分級。 二、修正資安事件定量化目標值。 三、將教育部之教育體系資訊安全管理系統所定義之範圍(學術網路系統以及行政資訊系統兩大業務範疇)納入本校資訊安全政策之範圍(定義)。 吳清沂 V2.1 103.10.1 江國位 CNS27001資訊安全管理系統於103年4月24日公布新版，驗證單位於103年10月開始受理新版稽核驗證，依據必威体育精装版版本標準，修正條文內容。 陳明印 副校長 V2.2 103.12.15 江國位 定量化政策參照「國家資通安全通報應變作業綱要」及本校「資通安全事件緊急通報及應變辦法」資安事件影響等級修正。 陳明印 副校長 V2.3 105.02.15 吳凰庭 依外稽建議刪除5.1、5.2以避免過度揭露主機及系統資訊，遭駭客攻擊。 陳明印 副校長 本政策由稽核業務組負責維護作業。 目 錄 1 目的 1 2 依據 1 3 資訊安全目標 2 4 資訊安全政策期許 4 5 驗證範圍 4 6 責任劃分 6 7 風險評鑑與管理 8 8 資訊安全政策之遵循 8 9 相關附件 8 目的 為維護大葉大學（以下簡稱本校）電算中心電腦機房正常營運及為保護本校核心業務相關資訊資產（資訊資產包括資 本政策係依據」考量業務需求資訊安全目標 資訊服務持續不中斷 資訊保護嚴密不外洩 為達成上述目標，本校資訊安全政策要求如下： 利害關係團體與內外部議題之努力： 全景與範圍對應其重要業務流程之要求與維運持續。 達成與資安政策一致之預期。 透過可量測的規範進行風險管理過程。 本校之業務活動執行須符合相關法令或法規之要求。 定量化政策包括： 確保機房內核心系統服務達到全年99%以上之可用性。 資通安全事件等級4每年發生次數不得超過3次，等級3每年發生次數不得超過於4次。 確保相關之資訊安全措施或規範符合現行資訊安全管理營運及相關法律與法規 加強內部控制，防止未經授權之不當存取，以 為達本校對資訊安全維護的期許與要求，本校將以本政策為基礎，依據組織發展需要，並考量資訊資產風險，建立一個完整、可行、有效之資訊安全管理系統，以為本校資訊安全提供最佳之保障，組織期許目標達成宜透由實際執行事項、相關負責人員、預計完成時間與執行成果評估之行動。 驗證範圍 大葉大學電算中心電腦機房、學術網路系統、行政資訊系統之維運。 責任劃分 大葉大學電算中心所有同仁應積極參與資訊安全管理系統（ISMS）活動，提供對資訊安全管理系統（ISMS）之支持。 稽核業務組負責本資訊安全政策之維護與落實，關於資訊安全組織之職責，請詳見「資訊安全組織管理程序書」。 稽核業務組應提供明確之指示，適時修訂本政策，以確保本政策符合現行需求。 本政策應至少每年評估一次，以反映政府法令、技術及業務等必威体育精装版發展現況，確保資訊安全實務作業之有效性。ISMS活動，提供對ISMS之支持及承諾，並適時覆核本政策。 資訊安全組織人員都有責任透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。 委外服務廠商須依照合約規範或相關安全管理程序以維護資訊安全政策。 資訊安全組織組織圖： 風險評鑑與管理 為達成本校 本校電算中心所有員工、簽約廠商未遵循本政策或相關資訊安全規定，或行使其他任何危及本校資訊安全之行為，都將訴諸適當之懲罰程序或法律行動；對於資訊安全法令或技術提供改進意見，經執行確具成效者，應給予適當獎勵。 相關附件 維運績效衡量統計表（表單編號：AS-04-028） 財政部關稅總局 7 iii 大葉大學 大葉大學 機密等級：(一般 (限閱 (密(機密 文件名稱：資訊安全政策 文件編號：AS-01-001 大葉大學 機密等級：(一般 (限閱 (密(機密 文件名稱：資訊安全政策 文件編號：AS-01-001 7 大葉大學 機密等級：(一般 (限閱 (密(機密 文件名稱：資訊安全政策 文件編號：AS-01-001 1