世新大學資訊安全政策

民國九十七年三月十四日 資訊安全會議通過

第一章      總則

第一條                        為保護本校所管理之資訊資產安全，免於因內部或外部、蓄意或意外之各種威脅與破壞，致使業務無法正常運作或資訊遭受竄改、揭露、破壞或遺失等風險，特制訂本政策。

第二條                        本政策適用之範圍係含本校所有資訊作業。

第三條                        本校全體教職員生、委外廠商及相關資訊業務之第三方人員均應遵守本政策。

第二章      資訊安全政策目標

第四條                        本校之資訊安全政策包含下列目標：

一、            確保本校所保管校務資料之機密性、完整性與可用性，防止非法使用校務資料。

二、            確保本校所提供資訊服務之完整性與可用性，提供全校師生便利和穩定的資訊服務。

三、            確保本校所提供軟硬體資源之可用性，均能被合法及正確地使用。

第三章      資訊安全管理指標

第五條                        為確保本校資訊安全政策之達成，制訂下列管理指標：

一、            資料外洩及駭客入侵防治機制之有效性。

二、            重要系統帳號權限授與及管理機制之有效性。

三、            重要系統正式上線後的資料之完整性。

四、            系統開發及修改之達成度。

五、            重要主機系統之可用性。

六、            因異常事件導致服務中斷之回應及時性。

七、            各面向含機密性、完整性及可用性的資安控管措施之落實度。

八、            資訊安全教育訓練之有效性。

第四章      資訊安全責任

第六條                        為能有效確保本校之資訊安全，應針對各資訊安全領域訂定資訊安全規範。

第七條                        資訊安全會議應每年至少召開一次管理審查會議，審核本校資訊安全業務執行狀況，建立管理指標量測方式與評估管理指標量測結果。

第八條                        高階主管應積極參與資訊安全管理活動，提供對資訊安全之支持及承諾。

第九條                        所有相關同仁皆應遵循本校資安事件通報機制，通報所發現之資訊安全事件或資訊安全弱點。

第十條                        應建立資訊資產風險評鑑機制，每年至少進行一次風險評鑑，並由資訊安全會議訂定可接受風險值。

第十一條                每年應至少進行一次業務永續經營計畫及資安事件通報程序之演練、測試、檢討。

第十二條                每年應依據行政院國家資通安全會報之規定，規劃並提供本校人員資訊安全訓練課程，以提昇人員資訊安全認知。

第十三條                所有委外廠商皆須簽署保密協議書，並遵循本政策以及相關程序之規定，不得未經授權使用或濫用本校之各類資訊資產。

第五章      資訊安全政策之修訂與公告

第十四條                本政策應每年定期審議，或因組織、業務、法令或環境等因素之變迭時，予以適當修訂。

第十五條                本政策經資訊安全會議審議通過，呈請　校長核定後公布施行，修正時亦同。