耕莘健康管理专科学校资讯安全暨紧急应变管理规範.PDFVIP

耕莘健康管理專科學校 資訊安全暨緊急應變管理規範 中華民國 103 年10月 13日資訊安全推動小組會議通過 中華民國 104 年04月 27日行政會議通過 中華民國 105 年05月 23日行政會議修正通過 中華民國 106 年 9月 25日資訊安全推動小組會議通過 中華民國 106 年 10 月 23日行政會議通過 中華民國 107 年 4月 30日資訊安全推動小組會議通過 中華民國 107 年 5 月 28日行政會議通過 1 目 錄 壹、總 則 1 一、依據 1 二、目的 1 三、目標 1 四、訂定參考 1 五、適用對象 1 六、適用範圍 2 貳、組織與權責 2 一、資訊安全推動小組 2 二、資訊安全相關人員安全權責 2 參、規範內容 5 一、資訊安全政策的制定及評估 5 二、資訊人員安全管理與訓練 5 三、電腦系統安全管理 6 四、網路安全管理 10 五、系統存取控制 11 六、密碼學(加密控制) 14 七、供應者關係 14 八、系統發展及維護之安全管理 16 九、資訊資產之安全管理 17 十、實體及環境安全管理 17 十一、業務永續運作計畫之規劃及管理 19 肆、緊急應變與處理程序 19 一、事件通報應變處理 19 二、入侵處理 21 三、安全稽核流程與獎懲措施 22 伍、災難復原程序 22 陸、附則 26 2 壹、總 則 一、依據 政府機關（構）資通安全責任等級分級作業規定及教育體系資通安全暨個人資 料管理規範和本校資訊安全管理辦法辦理 。 二、目的 耕莘健康管理專科學校 （以下簡稱本校）為明確本校各單位資訊安全 作業權責及通報與應變作業，以維護網路資訊系統的正常運作、確保網路 資訊傳輸安全， 並保障本校電腦處理資料之可用性、 機密性與完整性，特 訂定 本規範。 三、目標 （一）建立安全資訊作業環境，執行全天候服務。資訊組應有永續服務的 能力，不宜有作業停頓、蠕蟲攻擊、駭客攻擊毀損及監測資訊外洩 等事件發生 ，故積極推動建置資訊安全管理制度 (Information Security Management System, ISMS) ，確保本校資訊安全。 （二）強化本 校資訊網路安全防護機制 。 （三）提供本校資訊安全專業諮詢與通報機制 。 （四）落實本校資圖中心資訊安全管理與防護措施的執行 。 （五）宣導資訊安全與推動資安機制，並定期或不定期檢測資安執行狀 況，進行改善措施。 四、訂定參考 （一）中央標準檢驗局 CNS17799 、CNS17800規範。 （二） ISO/IEC 17799:2000 、BS7799-2:2002 、27001:2005國際標準。 （三）行政院及所屬各機關資安事件通報應變作業規範 （四）各政府機關 (構)落實資安事件危機處理具體執行方案。 （五）政府機關（構）資通安全責任等級分級作業規定 。 （六）行政院所屬各機關(構資訊安全管理規範。) （七）行政院所屬各機關(構資訊安全管理要點。) （八）教育體系資通安全暨個人資料管理規範 。 （九）個人資料保護法 。 （十）電子簽章法。 五、適用對象