| 馬偕學校財團法人馬偕醫學院資訊安全政策 | |
| 1 | 目的 |
| 本政策訂定之目的在於確保馬偕學校財團法人馬偕醫學院(以下簡稱本校)所屬資訊資產之機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。 | |
| 2 | 範圍 |
| 資訊安全管理涵蓋13項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。管理事項如下:
2.1 資訊安全政策訂定與評估。
2.2 資訊安全組織。
2.3 資訊資產分類與管制。
2.4 人員安全管理與教育訓練。
2.5 實體與環境安全。
2.6 通訊與作業安全管理。
2.7 存取控制安全。
2.8 金鑰管理。
2.9 系統取得、開發與維護之安全。
2.10 資訊安全事故之反應及處理。
2.11 業務永續運作管理。
2.12 供應商管理。
2.13 相關法規與施行單位政策之符合性。
|
|
| 3 | 目標 |
| 維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料之隱私。藉由全體同仁共同努力來達成下列目標:
3.1 保護本校業務活動資訊,避免未經授權的存取。
3.2 保護本校業務活動資訊,避免未經授權的修改,確保其正確完整。
3.3 建立資訊業務永續運作計畫,確保本校業務活動之持續運作。
3.4 本校之業務活動執行須符合相關法令或法規之要求。
|
|
| 4 | 聲明 |
| 健全資訊安全管理,提供安全信賴服務。 | |
| 5 | 責任 |
|
5.1 本校的管理階層建立及審查此政策。
5.2 資訊安全管理者透過適當的標準和程序以實施此政策。
5.3 所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。若需傳達資訊安全政策或相關安全管理程序給委外服務廠商,須確認傳達的內容為必要資訊且無機敏資訊,方可發布給相關委外服務廠商。
5.4 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
5.5 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行懲處。
|
|
| 6 | 教育訓練 |
| 本校教職員生應每學年接受資訊安全相關教育訓練或宣導,且本制度適用範圍內之人員應具備工作所需之相關技能,以提昇資訊安全認知觀念與防護能力,降低因人為因素而造成之資訊安全漏洞。 | |
| 7 | 文件紀錄管理 |
| 本制度相關文件應經適當審查後,頒布實施。 | |
| 本制度相關文件與紀錄之管制方式,應依據業務需要,訂定存取權限與保存方式。 | |
| 8 | 內部稽核 |
| 為檢視資訊安全規範之落實度與適切性,以持續改善本制度,每年應至少實施一次資訊安全內部稽核。稽核結果屬優點者,應予以表揚;稽核結果屬缺點者,應做出適度反應與改善。 | |
| 9 | 管理階層審查 |
| 本制度適用範圍內之主管級以上人員應每學年至少執行一次管理審查,根據風險評鑑結果、利害關係團體之回饋與期望、內外部資安議題以及管理審查會議之相關決議,評估本政策修訂之必要性,以反映政府法令、技術及業務等最新發展現況,並檢視各項業務於資訊安全面之落實度,確保本制度持續運作之適用性、適切性及有效性,以維持本校永續運作及提供學術網路服務之能力。 | |
| 10 | 資訊資產暨風險管理 |
| 應至少每年執行一次資訊資產之盤點與風險評鑑,且依據風險評鑑結果,以風險角度,並考量法規遵循性,規劃資源之分配,及時進行風險處理與改善。 | |
| 11 | 政策措施 |
| 為達成本政策目標,所採取之控制措施如「適用性聲明」內之適用項目。 | |
| 12 | 實施 |
|
12.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。
12.2 本政策經「資訊安全委員會」核定後實施,修訂時亦同。
|
|