版次:3.0
發行日期:2024.09.25
1 目的
為規範長庚大學資訊中心(以下簡稱本中心)資訊安全管理制度,以確保本中心管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求,進而保障全校教職員工生之權益,訂定本政策。
2 適用範圍
本中心資訊安全管理涵蓋ISO 27001及ISO 27017四項控制措施領域,包含組織控制措施、人員控制措施、實體控制措施及技術控制措施,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對帶來各種可能之風險及危害,並視需要發展出各項主題政策,分述如下:
2.1 存取控制。
2.2 實體及環境安全。
2.3 資產管理。
2.4 資訊傳送。
2.5 密碼技術及金鑰管理。
2.6 連網安全。
2.7 資訊安全事故管理。
2.8 端點裝置之安全組態及處置。
2.9 備份。
2.10 資訊分類分級及處理。
2.11 技術脆弱性管理。
2.12 安全開發。
3 名詞定義
無。
4 權責
本中心設「資訊安全推動委員會」,負責本政策之核定及監督、資訊安全預防及危機處理,展現對資訊安全管理制度的領導及承諾。
5 作業要求
5.1 資訊安全目標。
5.2 資訊安全原則。
5.3 資訊安全政策之審查。
5.4 資訊安全政策之實施。
6 作業說明
6.1 資訊安全目標
6.1.1 確保本校資訊服務之永續提供及完整資訊的合法存取。
6.1.2 確保本中心所提供資訊服務之完整性與可用性,提供全校師生便利和穩定的資訊服務。
6.1.3 確保本中心所提供軟硬體資源之可用性,合法及正確地使用。
6.2 資訊安全原則
6.2.1 重要資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
6.2.2 資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。
6.2.3 對於資訊安全事件須有完整的通報及應變措施,以確保資訊(通)系統、業務的持續運作。
6.2.4 針對核心資通系統或重要系統、業務應訂定營運持續計畫並定期演練,以確保於災害發生時能於預定時間內恢復作業。
6.2.5 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。
6.2.6 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
6.2.7 違反本政策與「長庚大學資訊安全管理辦法」相關規範,依相關法規或本校懲戒規定辦理。
6.3 雲端安全管理原則
雲服務的提供應考量
6.3.1 適用雲服務的設計和執行之安全要求。
6.3.2 多租戶之間隔離及虛擬化管理。
6.3.3 已授權人員的風險。
6.3.4 雲服務提供者維護人員存取雲端使用者資產之情形。
6.3.5 存取控制程序。
6.3.6 雲端使用者變更需求的溝通管理。
6.3.7 虛擬化安全。
6.3.8 雲端使用者資料存取及保護。
6.3.9 雲端使用者帳號申請、註銷或異動管理。
6.3.10 協助調查或舉證之違規及資訊分享之方式。
6.4 本中心資訊安全政策之審查
6.4.1 配合資訊安全管理制度管理審查會議召開時,進行提報與審核。
6.4.2 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。
6.5 資訊安全政策之實施
本政策經「資訊安全推動委員會」核定後實施,修訂時亦同。
7 參考文件
無。
8 表單及紀錄
無。