資訊安全定義:資訊(有形或無形的)是本網的資產,舉凡資訊資產、實體資產、軟體資產、服務資產、文件、人員、機關形象與榮譽等皆是;安全則是利用主動或被動的各種方法,來保護或保存一個環境,使其活動的進行不受干擾。因此資訊安全即為了避免因人為疏失、蓄意或自然災害等風險,運用一整套適當的控制措施,包括政策、實踐、步驟、組織結構和軟體功能等,來確保本網的資產受到妥善的保護。
資訊安全目標:即確保資訊的機密性(只有經過授權的人才能存取資訊)、完整性(保證資訊及其處理方法的準確性和完整性)與可用性(確保經過授權的用戶在需要時可以存取資訊並使用相關資訊資產),保護本網資訊資產免遭不當使用、洩漏、竄改、破壞等情事,確保資訊蒐集、處理、傳送、儲存及流通之安全。
資訊安全範圍:涵蓋電腦技術面與人員管理面的相關範圍。
資訊安全實施內容:
- 建立資訊資產的保管制度,有效分配、運用及管理本網站資訊資源。
- 提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。
- 評估資訊資產之安全等級,並賦予相關人員適當存取權限。
- 各項電腦系統之新增或變更作業應建立控管制度並完整予以記錄,以備查考。
- 建立資訊安全事件緊急處理機制與災後重建計畫,並反覆操演、測試。
- 訂定資訊安全稽核制度,就本網電腦主機房、試務工作場所及各項電腦系統安全進行定期或不定期之稽核作業,且嚴禁刪除及修改各項稽核紀錄檔案。
- 恪遵本網各項作業規範及相關資訊法規。
