• :::
  • 瀏覽位置:
  • 首頁 |
  • 資訊安全宣告

資訊安全宣告

「教育部國民及學前教育署」(以下簡稱本網站)為保障您及本網站的資料安全,特別依照「資通安全法」之精神,擬定以下網站安全政策,以說明本網站在資訊安全方面的作法。


1. 目的:

教育部國民及學前教育署(以下稱本署)為確保核心資訊系統資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資訊安全管理體系,特訂定資訊安全政策(以下簡稱本政策),本政策未規定事項依政府其他資訊安全法規辦理,以符合資訊系統之機密性、完整性、可用性與法律遵循性。

2. 依據

  1. ISO/IEC 27001:2013(Information technology — Security techniques — Information security management systems — Requirements)
  2. CNS 27001
  3. ISO/IEC 27002:2013(Information technology — Security techniques — Code of practice for information security management)
  4. 行政院及所屬各機關資訊安全管理要點
  5. 行政院及所屬各機關資訊安全管理規範
  6. 國家資通訊安全發展方案
  7. 教育部資訊安全政策

3. 名詞解釋

  1. 機密性(Confidentiality) :確保只有經過授權的人才能存取資訊資產。
  2. 完整性(Integrity) :確保資訊資產的完整性(Completeness)及其處理方法的準確性。
  3. 可用性(Availability) :確保授權的使用者在需要時,可以使用資訊資產。
  4. 適法性(Legality) :符合國家相關法令規範。

4. 政策聲明

為確保核心資訊系統安全及建立可信賴之環境,相關使用者需經過正常程序之申請授權,方能閱讀與存取授權範圍內之管制資訊,期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用,及避免資訊與系統被無意或惡意之竄改或變更,並確保智慧財產權及個人資料都能得到妥適的保護,避免不當的使用。

對於個人資料之蒐集、處理及利用,將依個人資料保護法及相關法令之規定,僅就其特定目的(如承辦業務及所需提供之服務時)之用,不會恣意對其他第三者揭露。

是故以簡單、容易記憶且符合資訊安全管理目標為原則,訂定資訊安全政策聲明分為兩大方向:

  1. 確保資訊系統運作環境安全無虞,並強化資訊安全管理,提供民眾優質服務。
  2. 管制資料保護好,完整正確不可少,持續服務為首要,養成習慣沒煩惱。

5. 目標

  1. 依據資訊安全管理標準ISO/IEC 27001:2013驗證之精神與要求,建置與累積導入資訊安全管理系統(Information Security Management System,ISMS)經驗與能力,作為本署推廣資訊安全系統建置之基礎準則。
  2. 確保本署核心資訊系統相關平台之資料的機密性(Confidentiality) 、完整性 (Integrity) 、可用性 (Availability)與法規/合約(Legal),以達正常持續運作之目標。
  3. 依據PDCA流程模式,以週而復始、循序漸進的精神,確保本署核心資訊業務運作之有效性及持續性,並訂立資訊安全目標量測機制,期能不斷精進。

6. 適用範圍

ISMS管理範圍以本署資訊機房及本署核心資訊系統之維運、及作業等相關資訊活動及參與人員為主要管理標的。


7. 實施內容

相關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效(量測指標),實施程序参見資訊安全實施程序書。

  1. 各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
  2. 負責資訊安全制度之建立及推動事宜。
  3. 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
  4. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
  5. 建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
  6. 維持電腦機房實體及環境安全防護措施,並定期實施相關保養。
  7. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
  8. 訂定資訊安全內部稽核計畫,定期執行內部稽核活動。
  9. 訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
  10. 所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。

8. 實施與修正

  1. 本政策每年至少審查一次並留下審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及本機關營運要求。
  2. 本政策奉 核定後實施,修正時亦同。

點閱人數:347