为确保苗栗县政府(以下简称本府)府内同仁,利用本府有形无形(软、硬件、文件、资料和流程)资讯资产从事公务活动之机密性、完整性及可用性,达到“资讯安全,人人有责,资源共享,安全第一”,以维护本府同仁及民众之权益,特订定本政策。
确保本府资料、系统、设备及网路安全等资讯服务之永续经营,提供合法存取之完整资讯,以保障民众权益。
资讯安全管理涵盖11 项管理事项,避免因人为疏失、蓄意或天然灾害等因素,导致资料不当使用、泄漏、窜改、破坏等情事发生,对本府带来各种可能之风险及危害。管理事项如下:
设置本府“资讯安全推动委员会”,负责政策之核定及监督、资讯安全预防及危机处理。
一、 重要之资讯资产应定期清查、分类分级与进行风险评鉴,并据以实施适当的防护措施。
二、 资讯资产存取权限应予以区分,考量人员职务授予相关权限,必要时得采行加解密及身份鉴别机制,以加强资讯资产之安全。
三、 对于资讯安全事件须有完整的通报及应变措施,以确保资讯系统、业务的持续运作。
四、 应订定营运持续计划并定期演练,以确保重要系统、业务于灾害发生时能于预定时间内恢复作业。
五、 相关人员应依规定接受资讯安全教育训练与宣导,以加强资讯安全认知。
六、 定期执行资讯安全稽核作业,检视存取权限及资讯安全管理制度之落实。
七、 违反本政策与资讯安全相关规范,依据政府颁布之相关法规或本府惩戒规定办理。
八、 本政策每年至少评估一次,依业务变动、技术发展及风险评鉴的结果修订。
一、 资讯安全政策配合管理审查会议进行资讯安全政策审核。
二、 本政策签奉县长核定后实施,修订时亦同。