1.適用範圍
本政策適用於各項資訊資產及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。
2. 依據
本政策係依據「行政院及所屬各機關資訊安全管理要點」,並參酌「行政院及所屬各機關資訊安全管理規範」、「教育體系資通安全管理規範」、「個人資料保護法」、「個人資料保護法施行細則」、「資通安全管理法」、「資通安全管理法實行細則」等有關法令、計畫,及ISO/CNS 27001資訊安全管理系統標準,考量業務需求,訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。
3. 組織
為統籌資訊安全管理等事項之規劃、執行、稽核及矯正活動,應建立資訊安全推動組織,並依「ISMS-2-01組織與權責程序書」辦理。
4. 實施目標與內容
依據本館「組織法」及「館務發展計畫」為使本館發展與營運規劃、民間參與相關業務及館區各項公共設施規劃、建設、維護及管理並增進本館營運效益,相關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效(量測指標),實施程序參見「ISMS-2-02資訊安全實施程序書」。
4.1. 各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法、資通安全管理法等)之規定。
4.2. 負責資訊安全制度之建立及推動事宜。
4.3. 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
4.4. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
4.5. 建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
4.6. 建立電腦機房實體及環境安全防護措施,並定期實施相關保養。
4.7. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
4.8. 訂定資訊安全內部稽核計畫,定期執行內部稽核活動。
4.9. 訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
4.10. 所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。
5. 個資安全政策
本館為落實我國個人資料保護法(以下簡稱個資法)之規定,確保本館所有活動均能合理的蒐集、處理及利用個人資訊,以下為本館個資安全政策之內容:
5.1. 各項安全管理規範必須遵守政府相關法規之規定。
5.2. 應成立個資安全管理組織負責個人資料保護制度之建立及推動事宜以確認本館個資安全政策能被實施並配置相當資源。定期召開會議以確保個人資料安全維護之整體持續改善。
5.3. 應鑑別出內部與外部的利害關係人以及該利害關係人參與組織個資安全保護程度,並辨識工作人員之職責及權責。
5.4. 應維持一份組織處理個人資訊清單(如:個人資料檔案彙整清冊),並建立個人資料之風險評估及管理機制。
5.5. 應建立設備、資料安全及人員管理規範及個資事故之預防、通報與應變機制。
5.6. 應建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制,以為後續舉證或證明已盡善良管理人之用。
5.7. 定期對同仁實施個資安全認知宣導,並針對個資維護(專責)人員施以適當之教育訓練,以宣導本館個資安全政策及相關實施規定。
5.8. 定期訂定個資內部稽核計畫,檢視本館個資保護之情形,依稽核報告擬定及執行矯正預防措施。
5.9. 僅得基於合法之目的及執行法定義務之必要的範圍內公平並合法的處理個人資訊。
5.10. 僅得基於合法之目的蒐集最少且必要之個人資訊,處理相關且適當的個人資訊亦不會超出蒐集之目的,對於保存個資之時間須為法律或規定之需求理由或為合法的組織目的。
5.11. 維持正確之個人資訊並確保其安全,且於必要時維持其資訊為最新狀態。
5.12. 於處理或利用前清楚告知當事人,本館將以何種方式使用其個人資訊,並且尊重當事人與其個人資訊之相關權利,包括對於個人資訊之存取權。
5.13. 本館保有之個人資訊僅限於台灣地區使用,若有轉移到國(境)外之必要將於使用前取得當事人同意後並在有適當且充分保護下為之。
5.14. 本館若有特定目的外之利用,應符合個人資料保護法第16條之例外情形。
6. 實施與修正
本政策每年至少審查一次並留下審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及營運要求,本政策奉 資安長核定後實施,修正時亦同。