資源描述:
《華梵大學(xué)資訊安全管理作業(yè)辦法-崇恩集團(tuán)》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1����、98.01.01訂定崇恩集團(tuán)資訊安全管理辦法第一條為強(qiáng)化資訊安全管理,建立安全及可信賴(lài)之電子化系統(tǒng)����,確保資料、系統(tǒng)����、設(shè)備網(wǎng)路之安全,考量日常業(yè)務(wù)以及使用情況����,進(jìn)行資訊安全安全管理��,確定各項(xiàng)資訊作業(yè)安全需求水準(zhǔn)���,採(cǎi)行適當(dāng)及充足之資訊安全措施,確保各單位資訊蒐集����、處理、傳送��、儲(chǔ)存及流通之安全���,特訂定本辦法。第二條本辦法所稱(chēng)適當(dāng)及充足之資訊安全措施���,應(yīng)綜合考量各項(xiàng)資訊資產(chǎn)之重要性及價(jià)值���,以及因人為疏失、蓄意或自然災(zāi)害等風(fēng)險(xiǎn)���,致相關(guān)資訊資產(chǎn)遭不當(dāng)使用����、洩漏、竄改����、破壞等情事,影響及危害機(jī)關(guān)業(yè)務(wù)之程度�����,採(cǎi)行與資訊資產(chǎn)價(jià)值相稱(chēng)及具成本效益之管理��、作業(yè)及技術(shù)
2����、等安全措施。第三條本集團(tuán)有關(guān)資訊安全管理事務(wù)依下列分工原則:一����、資訊安全政策、計(jì)畫(huà)及技術(shù)規(guī)範(fàn)之研議��、建置及評(píng)估等事項(xiàng)�,由資訊開(kāi)發(fā)部負(fù)責(zé)辦理。二���、資料及資訊系統(tǒng)之安全需求研議�、使用管理及維護(hù)等事項(xiàng),由資訊開(kāi)發(fā)部會(huì)同相關(guān)單位負(fù)責(zé)辦理負(fù)責(zé)辦理���。三��、資訊安全稽核事項(xiàng)����,由資訊開(kāi)發(fā)部會(huì)同相關(guān)單位負(fù)責(zé)辦理����。四、資訊安全管理事項(xiàng)之協(xié)調(diào)及推動(dòng)��,由資訊開(kāi)發(fā)部會(huì)同相關(guān)單位負(fù)責(zé)人辦理��。第四條資訊安全應(yīng)定期或不定期進(jìn)行稽核�����。第五條各單位對(duì)資訊相關(guān)職務(wù)及工作���,應(yīng)進(jìn)行安全評(píng)估�����,並於人員晉用���、工作及任務(wù)指派時(shí),審慎評(píng)估人員之適任性�,並進(jìn)行必要之考核;各單位對(duì)可存取機(jī)密性或敏感
3����、性資訊或系統(tǒng)之人員,及因工作需要須配賦系統(tǒng)存取特別權(quán)限之人員����,由資訊開(kāi)發(fā)部評(píng)估及考核。第六條各單位應(yīng)加強(qiáng)電腦使用能力之培訓(xùn)�����,提升資訊安全管理能力�,若電腦使用能力或經(jīng)驗(yàn)如有不足,得洽請(qǐng)資訊開(kāi)發(fā)部提供協(xié)助����。針對(duì)不同工作類(lèi)別之需求�,定期辦理安全教育訓(xùn)練及宣導(dǎo)�����,建立並加強(qiáng)員工資訊安全認(rèn)知��,提升資訊安全水準(zhǔn)�。第七條各單位負(fù)責(zé)管理及操作之人員,應(yīng)實(shí)施人員輪調(diào)�,建立人力備援制度。第八條資訊開(kāi)發(fā)部相關(guān)人員離職時(shí)��,應(yīng)取消其進(jìn)出識(shí)別證����,並確實(shí)做好電腦軟硬體及相關(guān)文件之移交工作。第九條各單位主管應(yīng)負(fù)責(zé)督導(dǎo)所屬員工之資訊作業(yè)安全��,防範(fàn)不法及不當(dāng)行為����。第十條各單位對(duì)系統(tǒng)
4��、變更作業(yè)時(shí)�,應(yīng)建立控管制度並建立紀(jì)錄備查��。第十一條各單位使用軟體之權(quán)利及義務(wù)應(yīng)依著作權(quán)法及有關(guān)議定之合約辦理�����。除因公務(wù)需要且經(jīng)資訊開(kāi)發(fā)部核可外����,同仁不得使用點(diǎn)對(duì)點(diǎn)(Peer-to-Peer,P2P)分享軟體����,資訊開(kāi)發(fā)部及各單位管理人員應(yīng)定期檢視。第十二條各單位應(yīng)採(cǎi)行必要之事前預(yù)防及保護(hù)措施�����,偵測(cè)及防制電腦病毒及其他惡意軟體����,確保系統(tǒng)正常運(yùn)作。第十三條各單位利用公眾網(wǎng)路傳送資訊或進(jìn)行資料處理����,應(yīng)評(píng)估可能之安全風(fēng)險(xiǎn),確定資料傳輸具完整性�、機(jī)密性����、身分鑑別及不可否認(rèn)性等安全需求����。第十四條各單位應(yīng)針對(duì)資料傳輸、撥接線路�����、網(wǎng)路線路與設(shè)備���、對(duì)外連接介面及路
5���、由器等事項(xiàng),研擬妥適安全控管措施���。第十五條各單位與外界網(wǎng)路連接之網(wǎng)點(diǎn)�����,必要時(shí)得以防火牆或其他安全設(shè)施,控管外界與單位內(nèi)部網(wǎng)路之資料傳輸及資源存取��。第十六條資訊開(kāi)發(fā)部開(kāi)放外界連線作業(yè)之資訊系統(tǒng),必要時(shí)得視資料及系統(tǒng)之重要性及價(jià)值����,採(cǎi)用資料加密、身分鑑別�����、電子簽章���、防火牆及安全漏洞偵測(cè)等不同安全等之技術(shù)或措施����,防止資料及系統(tǒng)被侵入�����、破壞����、竄改、刪除及未經(jīng)授權(quán)之存取�。第十七條各單位利用網(wǎng)際網(wǎng)路及全球資訊網(wǎng)公布及流通資訊,應(yīng)實(shí)施資料安全等級(jí)評(píng)估,機(jī)密性���、敏感性及未經(jīng)當(dāng)事人同意之個(gè)人隱私資料及文件���,不得上網(wǎng)公布。單位存有資料及檔案����,應(yīng)加強(qiáng)安全保護(hù)措施,防
6�、止資料及檔案遭不當(dāng)之竊取使用。第十八條機(jī)密性資料及文件�,不得以電子郵件或其他電子方式傳送。機(jī)密性資料以外之敏感性資料及文件�����,如有電子傳送之需要����,應(yīng)視需要以適當(dāng)之加密或電子簽章等安全技術(shù)處理。第十九條各單位應(yīng)依資訊安全政策�,賦予各級(jí)人員必要之系統(tǒng)存取權(quán)限;賦予之系統(tǒng)存取權(quán)限�,應(yīng)以執(zhí)行任務(wù)所必要者為限。對(duì)被賦予系統(tǒng)管理最高權(quán)限之人員及掌理重要技術(shù)及作業(yè)控制之特定人員,應(yīng)經(jīng)審慎之授權(quán)評(píng)估���。第二十條各單位離(休)職人員,應(yīng)立即取消使用校內(nèi)各項(xiàng)資訊資源之所有權(quán)限����,並列入人員離(休)職之必要手續(xù)。各單位人員職務(wù)調(diào)整及調(diào)動(dòng)���,應(yīng)依系統(tǒng)存取授權(quán)規(guī)定�����,限期調(diào)整其權(quán)
7����、限����。第二十一條資訊開(kāi)發(fā)部應(yīng)建立使用者註冊(cè)管理制,加強(qiáng)通行碼管理�,並要求定期更新;其通行碼之更新週期�,視作業(yè)系統(tǒng)及安全管理需求決定,最長(zhǎng)以不超過(guò)一年為原則。對(duì)單位內(nèi)外擁有系統(tǒng)存取特別權(quán)限之人員�����,應(yīng)建立使用人員名冊(cè)�,加強(qiáng)安全控管,並縮短通行碼更新週期�����。第二十二條開(kāi)放給各單位之連線作業(yè)���,應(yīng)事前與人員簽訂協(xié)定�����,明定其應(yīng)遵守之資訊安全規(guī)定��、標(biāo)準(zhǔn)��、程序及應(yīng)負(fù)之責(zé)任�。第二十三條各單位對(duì)系統(tǒng)服務(wù)廠商以遠(yuǎn)端登入方式進(jìn)行系統(tǒng)維護(hù)者��,應(yīng)加強(qiáng)安全控管����,並建立人員名冊(cè)�����,課其相關(guān)安全保密責(zé)任�。第二十四條集團(tuán)之重要資料及系統(tǒng)��,不論在機(jī)構(gòu)內(nèi)外執(zhí)行���,均應(yīng)採(cǎi)取適當(dāng)及足夠之安全管制
8、措施�����,防止資料被竊取�、竄改、販?zhǔn)?��、洩漏及不?dāng)備份等情形發(fā)生���。第二十五條各單位應(yīng)確立系統(tǒng)稽核項(xiàng)目,建立資訊安全稽核制度����,定期或不定期進(jìn)行資訊安全稽核作業(yè)
