國立台南大學附屬啟聰學校資訊安全政策

壹、目的

為確保國立台南大學附屬啟聰學校（以下簡稱「本校」）所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本校之業務需求，訂定本政策。。

貳、適用範圍

一、本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。

二、資訊安全管理範疇涵蓋 14 項領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校造成各種可能之風險及危害，各領域分述如下

(一) 資訊安全政策。

(二) 資訊安全之組織。

(三) 人力資源安全

(四) 資產管理。

(五) 存取控制。

(六) 密碼學。

(七) 實體及環境安全。

(八) 運作安全。

(九) 通訊安全。

(十) 系統獲取、開發及維護。

(十一) 供應者關係。

(十二) 資訊安全事故管理。

(十三) 營運持續管理之資訊安全層面。

(十四) 遵循性。

參、目標

為維護本校資訊資產之機密性、完整性與可用性，並保障使用者資料隱私之安全，期藉由本政策之實施以達成下列目標：

一、保護本校業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。

二、保護本校業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。

三、建立本校業務永續運作計畫，以確保本校業務服務之持續運作。

四、確保本校各項業務服務之執行須符合相關法令或法規之要求。

肆、權責

一、本中心應成立資訊安全組織統籌資訊安全事項推動。

二、管理階層應積極參與、支持及承諾持續改善資訊安全管理制度，並透過適當的標準和程序以實施本政策。

三、本中心全體人員、委外服務廠商與訪客等皆應遵守本政策。

四、本中心全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。

五、任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行議處。

伍、管理指標

為評量資訊安全管理目標達成情形，特訂定資訊安全管理指標如下：

一、定量化指標

(一) 確保本中心資訊服務可用性之要求如下：

1.資訊機房維運服務達全年服務時間 90%以上。

2.關鍵業務系統服務達全年服務時間 90%以上。

(二) 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事，每年不得超過次數如下：

1.資訊機房維運服務中斷，每季不得超過 3 次。

2.關鍵業務系統服務中斷，每季不得超過 3 次。

(三) 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事，每次最長不得超過工作小時要求如下：

1.資訊機房維運服務中斷，每次最長不得超過6工作小時。

2.關鍵業務系統服務中斷，每次最長不得超過8工作小時。

陸、審查

一、本政策應每年至少審查乙次，以反映政府法令、技術及業務等最新發展情況，確保本校業務永續運作之能力。

柒、實施

一、本政策經「資訊安全委員會」核定後實施，修訂時亦同