:::

資訊安全政策

編號:ISMS-01-001
版次: 01
發布日期:106年09月01日

1.目的

為確保國家運動訓練中心(以下簡稱本中心)所屬之資訊與資訊資產的機密性、完整性及可用性,以提供本中心之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策。

2.範圍

資訊安全管理涵蓋12項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本中心帶來各種可能之風險及危害。管理事項如下:

  • 2.1 資訊安全政策訂定與評估。
  • 2.2 資訊安全組織。
  • 2.3 人力資源安全。
  • 2.4 資產管理。
  • 2.5 存取控制安全。
  • 2.6 實體與環境安全。
  • 2.7 通訊與作業安全。
  • 2.8 系統獲取、開發與維護之安全。
  • 2.9 供應者關係管理。
  • 2.10 資訊安全事件之反應及處理。
  • 2.11 營運持續運作管理。
  • 2.12 相關法規與施行單位政策之符合性。

3.權責

資訊安全委員會召集人:負責本政策文件之審查與核准。

4.參考資料

4.1 無

5.定義

  • 5.1 資訊資產:係指為維持本中心資訊業務正常運作之硬體、軟體、資料、文件、環境、通訊及人員。
  • 5.2 營運持續運作之資訊環境:係指為維持本中心各項業務正常運作所需之資訊作業環境。

6.內容說明

  • 6.1 資訊安全政策
    • 資訊安全政策 提供穩定安全(6.2.1;6.2.3)且持續不中斷(6.2.2)的資訊整合安全服務。
  • 6.2 目標
    為維護本中心資訊資產的機密性、完整性及可用性,並保障使用者資料隱私之安全,期藉由本中心全體同仁努力以達成下列目標:
    • 6.2.1 保護本中心關鍵業務資訊安全,避免未經授權的存取,以確保其機密性、正確性與完整性。
    • 6.2.2 維持核心資訊系統持續運作確保本中心具備可供業務持續運作之安全資訊環境。
    • 6.2.3 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
  • 6.3 責任
    • 6.3.1 本中心的資訊安全委員會召集人核定本政策。
    • 6.3.2 本中心全體人員、委外服務廠商與訪客均應遵守相關安全管理程序以維護本政策。
    • 6.3.3 本中心全體人員及委外服務廠商均有責任通報資訊安全事件和弱點。
    • 6.3.4 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本中心之相關規定進行懲處。
  • 6.4 審查
    本政策應至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本中心營運持續運作能力。
  • 6.5 實施
    • 6.5.1 資訊安全委員會每年召開資訊安全管理審查會議,進行資訊安全政策審核。
    • 6.5.2 本政策經資訊安全委員會召集人核定後實施,修訂時亦同。

7.使用表單

8.附件

9.流程圖