确保嘉义市教育网络中心以下简称本中心所属之资讯资产机密性、完

确保嘉义市教育网络中心（以下简称本中心）所属之资讯资产机密性、完整性及在教育体系下之合理可用性，并符合相关法规之要求，使其免于遭受内、外部的蓄意或意外之威胁。

资讯安全管理涵盖11 项管理事项，避免因人为疏失、蓄意或天然灾害等因素，导致资料不当使用、泄漏、窜改、破坏等情事发生，对本中心带来各种可能之风险及危害。管理事项如下：

2.11 相关法规与施行单位政策之符合性。

本中心之内部人员、委外服务厂商与访客皆应遵守本政策。

维护本中心资讯资产之机密性、完整性与可用性，并保障使用者资料隐私。

借由全体同仁共同努力来达成下列目标：

3.1 保护本中心TANet 业务活动资讯，避免未经授权的存取。

3.2 保护本中心TANet 业务活动资讯，避免未经授权的修改，确保其正确完整。

3.3 建立资讯业务永续运作计划，确保本中心TANet 业务活动之持续运作。

3.4 本中心之业务活动执行须符合相关法令或法规之要求。

4.1 本中心的管理阶层建立及审查此政策。

4.2 资讯安全管理者透过适当的标准和程序以实施此政策。

4.3 所有人员和委外服务厂商均须依照相关安全管理程序以维护资讯安全政策。

4.4 所有人员有责任报告资讯安全事件和任何已鉴别出之弱点。

4.5 任何危及资讯安全之行为，将视情节轻重追究其民事、刑事及行政责任或依本中心之相关规定进行议处。

为评量资讯安全管理目标达成情形，特订定资讯安全管理指标如下：

5.1.1确保本中心TANet 业务服务达全年上班时间96%以上之可用性。

5.1.2确保因资通安全事件、异常事件、其他安全事故所造成系统、主机异常而中断营运服务之情事，每年　不得超过8 次。

5.1.3确保因资通安全事件、异常事件、其他安全事故所造成系统、主机异常而中断营运服务之情事，每次　最长不得超过8 工作小时。

5.1.4应适当保护本中心资讯资产之机密性与完整性，每年至少需进行乙次风险评鉴及风险管理。

5.1.5为确保本中心资讯安全措施或规范符合现行法令、法规之要求，每年至少需稽核乙次。

5.1.6维护及演练业务永续运作计划每年至少需进行乙次，以确保本中心 TANet 业务服务得以持续运作。

5..2.1应定期审查本中心资讯安全组织人员执掌，以确保资讯安全工作之推展。

5.2.2应符合主管机关之要求，依员工职务及责任提供适当之资讯安全相关训练。

5.2.3应加强本中心资讯机房设施之环境安全，采取适当之保护及权限控管机制。

5.2.4应确保资讯不因传递过程，或无意间之行为，透漏给未经授权之第三者。

5.2.5应加强存取控制，防止未经授权之不当存取，以确保本中心资讯资产已受适当之保护。

5.2.6应确保所有资讯安全事件或可疑之安全弱点，均依循适当之通报机制向上反应，并予以适当调查及处理。

7.1 资讯安全政策配合管理审查会议进行资讯安全政策审核。

7.2 本政策经“资讯安全委员会”核定后实施，修订时亦同。