跳到主要內容區塊
  • 110母親節活動
  • 110局長蒞臨
  • 110政令
  • 110稅捐參訪
  • 110局長走春
友善列印 連結至桃園OpenAPI網站 張貼至「Facebook」 張貼至「Plurk」 張貼至「Twitter」 字級:

資訊安全政策宣導

壹、 目的
  桃園市政府地政局(以下簡稱本局)及所屬各地政事務所(以下簡稱各地所)為強化資訊安全管理,建立安全及可信賴之地政資訊環境,確保資料、系統、設備及網路安全之完整性、可用性與機密性,以達「落實資訊安全,業務永續維運」之目標,特訂定本資訊安全政策(以下簡稱本政策)。
 
貳、 名詞解釋
  一、 資訊安全:保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。
  二、 機密性(Confidentiality):指使資訊不可用,或不揭露予未經授權之個人、個體或過程的性質,確保只有經過授權的人才能存取資訊資產。
  三、 完整性(Integrity):指保護資產的準確度(Accuracy)及完全性(Completeness)的性質,確保資訊資產之處理方法的準確性及完整。
  四、 可用性(Availability):指經授權個體因應需求之可存取及可使用之性質,確保經授權之使用者在需要時,可以使用資訊資產。
 
參、 適用範圍
  本局及各地所(以下簡稱各機關)所有同仁。

肆、 政策
  各機關之「資訊安全政策」,以建立一個具機密性、完整性與可用性的資訊安全環境之目的。
  一、 確保資訊資產受適當的保護,防止未經授權之不當存取。
  二、 資訊系統中敏感資訊要有適當的保護,以防止非法竄改。
  三、 確保資訊不會在傳遞過程中,或因無意間的行為,透露給未經授權的第三者。
  四、 確保資訊系統於服務時間內,提供授權的使用者正常存取。

伍、 資訊安全管理制度要求
  一、 一般要求
    在整體營運活動與其所面臨資訊安全風險中,以建立、實作、運作、監視、審查、維持機制之資訊安全管理制度(以下簡稱本制度)。
  二、 資訊安全管理制度之建立與管理
    依據ISO 27001國際標準要求與附錄A之控制目標、控制措施,建立各機關之資訊安全管理制度。
  三、 驗證範圍
    (一) 「(LANDTYCG-02-20-00)適用性聲明書」含管理制度範圍。
    (二) 資訊安全之風險管理流程
 
風險管理

    (三) 依據「(LANDTYCG-02-05-00)風險評鑑與管理程序」,評估各機關  本次驗證範圍內資訊資產之風險,並對評估結果訂定可接受之風險等級。
    (四) 資訊安全管理制度實施過程中,所選擇的控制目標與控制方法,經實際運作並提出佐證資料後證明有效。
    (五) 適用性聲明中所選擇不適用之控制目標,均有適當之理由。

四、 文件與紀錄管制
    (一) 資訊安全管理制度的文件與各項紀錄,由「(LANDTYCG-02-03-01)文件表單一覽表」編列管制。
    (二) 所建立之資訊安全管理制度文件,依照ISO 27001國際標準之條文要求與附錄A控制目標、控制措施,編撰對應之作業程序書、風險評鑑報告與風險處理計畫。

 
  五、 文件管制
    資訊安全管理制度文件之制訂、增修、審核、識別、登錄、發行、使用、存檔、廢止等作業,依照「(LANDTYCG-02-03-00)文件與紀錄管制程序」執行。

 
  六、 管理階層責任
    (一) 管理階層承諾
      各機關管理階層承諾下列事項:
      1. 確保資訊安全政策已經建立。
      2. 確保 ISO 27001 國際標準條文要求與附錄A之控制目標、控制措施,均已實施。
      3. 資訊安全管理制度之組織職掌與分工已成立並開始運作。
      4. 資訊安全政策宣達至相關單位與人員。
      5. 持續實施資訊資產風險管理、評估與改善。
      6. 制(修)訂風險評鑑後之可接受風險值(分數)。
      7. 提供充分資源,維持本系統持續改善與運作。
      8. 執行本系統之管理審查(Management Review)

 
    (二) 資源管理
      1.資源提供
      (1) 建立、實作、運作、監控、審查、維持及改進本系統。
      (2) 確保已實施之資訊安全管理制度所有相關文件,均保持其完整性與可用性。
      (3) 與供應商簽訂之契約,皆已明訂資訊安全條款。
      (4) 對所有已經實作的管控措施,提供最新的資訊安全資訊與技術,持續改善。
      (5) 對本制度稽核、審查發現之缺失,優先提供改進資源。
      (6) 對任何可以改進本制度之有效性措施,提供適當改進資源。
      2.訓練、認知及能力
        資訊安全管理制度之有關訓練、認知及能力需求等作業,依照「(LANDTYCG-02-06-00)人員安全管理程序」實施。

 
  七、 稽核
    依照「(LANDTYCG-02-16-00)內部稽核管理程序」,執行資訊安全內部稽核。
  八、 管理審查(Management Review)
    依「(LANDTYCG-02-01-00)資訊安全組織管理程序」,實施資訊安全之管理審查。

陸、 資訊安全管理制度之改進
  一、 持續改進
    經由資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控,加以分析並提出矯正措施,經審查矯正措施實施效果,作為持續改進本系統之依據。
二、 矯正措施
    依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全事件監控時所發現之缺失,提出矯正措施加以改善。
  三、 矯正對策
依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控時所發現之缺失,經改善後提出矯正對策並加以規範。

柒、 政策審查
  本政策每年應至少評估1次,以反映政府各項安全政策、法令、技術及各機關業務之最新狀況,確保安全實務作業之可行性及有效性。

 
捌、 參考文件
  一、 (LANDTYCG-02-20-00)適用性聲明書。
  二、 (LANDTYCG-02-05-00)風險評鑑與管理程序。
  三、 (LANDTYCG-02-03-00)文件與紀錄管制程序。
  四、 (LANDTYCG-02-06-00)人員安全管理程序。
  五、 (LANDTYCG-02-16-00)內部稽核管理程序。
  六、 (LANDTYCG-02-01-00)資訊安全組織管理程序。
  七、 (LANDTYCG-02-18-00)矯正管理程序。
  八、 ISO 27001國際標準。
  九、 資通安全管理法。

 
玖、 附件(或使用表單)
  (LANDTYCG-02-03-01)文件表單一覽表。
 
最後更新日期:110-08-06
瀏覽人次:324 人