協志工商 資訊安全政策

1. 目的

為確保嘉義縣私立協志高級工商職業學校(以下簡稱「本校」)資訊安全管理作業,維護資訊及其處理設備之機密性、完整性及可用性,並符合相關法令、法規之要求,特訂定本政策。

 

2. 適用範圍

本政策適用之管理範圍為本校教職員與學生個人資料處理及其相關資訊服務。

 

3. 資訊安全管理範疇

3.1 資訊安全分為下列十項領域,進行管理:

3.1.1 資訊安全政策訂定。

3.1.2 資訊安全組織。

3.1.3 資訊資產分類與管制。

3.1.4 人員安全管理與教育訓練。

3.1.5 實體與環境安全。

3.1.6 通訊與作業安全管理。

3.1.7 存取控制安全。

3.1.8 系統開發與維護之安全。

3.1.9 資訊安全事件之反應及處理。

3.1.10相關法規與施行單位政策之符合性。

 

4.目標:

本校資訊安全管理目標分本定性化指標及定量化指標

4.1 定性化指標

4.1.1 確保本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。

4.1.2 保護本校個人隱私資訊之安全,確保資訊需經授權人員才可存取資訊。

4.1.3 保護本校個人隱私資訊之安全,避免未經授權的修改。

4.1.4 確保本校各項業務服務之執行符合相關法令或法規之要求。

4.2 定量化指標

4.2.1 網路服務服務品質,需達全年上班時間網路正常服務時間可用性98%。註:計算公式:

4.2.2 資料遭未經授權之異動、毀損、誤植或其他非預期性事件影響資料正確性,已衝擊業務正常運作之資安事件,全年不得超過三件。

4.2.3 校譽傷害、經濟損失、個人權益嚴重受損或犯罪觸法之資安事件,全年不得超過三件。

 

5.責任

5.1 由電腦中心統籌資訊安全事項推動。

5.2 本校各單位主管應積極參與及支持資訊安全管理作業,並透過適當的作業管理程序達成本政策目標。

5.3 本校全體人員、委外服務廠商與訪客等皆應遵守本校資訊安全相關規定。

 

6.審查

 

本政策應每年至少審查一次,以因應政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

 

7.實施

本政策經校長核定後實施,修訂時亦同。