行政院及所属各机关资讯安全管理规范-经济部标准检验局.docVIP

行政院及所屬各機關資訊安全管理規範 88/11/16行政院研考會（88）會訊字第05787號函頒 壹、資訊安全政策制定及評估 一、資訊安全政策制定 應依據電腦處理個人資料保護法、國家機密保護辦法與行政院及所屬各機關資訊安全管理要點等有關法令，衡酌機關業務需求，參考本規範訂定資訊安全政策，研訂資訊作業之安全水準，並以書面、電子或其他方式通知員工及與機關連線作業之有關機關（構）、廠商。 制訂資訊安全政策，應至少包括下列事項：1、資訊安全之定義、資訊安全之目標及資訊安全之範圍等。 2、資訊安全政策之解釋及說明，資訊安全之原則、標準，以及員工應遵守之規定，包括： （1）政府法令及契約對機關資訊安全之要求及規定。 （2）資訊安全教育及訓練之要求。 （3）電腦病毒防範之要求。 （4）業務永續運作計畫。 3、推行資訊安全工作之組織、權責及分工。 4、員工應負的一般性及特定的資訊安全責任。 5、發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。 二、資訊安全政策之評估 （一）制訂之資訊安全政策，應定期進行獨立及客觀的評估，以反映政府資訊安全管理政策、法令、技術及機關業務之最新狀況，確保資訊安全之實務作業，確實遵守資訊安全政策，以及確保資訊安全實務作業之可行性及有效性。 （二）資訊安全政策評估作業，可責由具有專業技術及知識之內部稽核單位、獨立客觀的資深主管人員，或是委