資安政策(資訊中心)

版本2.2

1    目的
為規範長庚大學資訊中心(以下簡稱本中心)資訊安全管理制度,以確保本中心管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求,進而保障全校教職員工生之權益,訂定本政策。
2    適用範圍
資訊安全管理涵蓋ISO 27001及ISO 27017 14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本中心帶來各種可能之風險及危害。
管理事項如下:
2.1    資訊安全政策。
2.2    資訊安全之組織。
2.3    人力資源安全。
2.4    資產管理。
2.5    存取控制。
2.6    密碼學(加密控制)。
2.7    實體及環境安全。
2.8    運作安全。
2.9    通訊安全。
2.10    系統獲取、開發及維護。
2.11    供應者關係。
2.12    資訊安全事故管理。
2.13    營運持續管理之資訊安全層面。
2.14    遵循性。
3    名詞定義
無。
4    權責
本中心設「資訊安全推動委員會」,負責本政策之核定及監督、資訊安全預防及危機處理,展現對資訊安全管理制度的領導及承諾。
5    作業要求
5.1    資訊安全目標。
5.2    資訊安全原則。
5.3    資訊安全政策之審查。
5.4    資訊安全政策之實施。
6    作業說明
6.1    資訊安全目標
6.1.1    確保本校資訊服務之永續提供及完整資訊的合法存取。
6.1.2    確保本中心所提供資訊服務之完整性與可用性,提供全校師生便利和穩定的資訊服務。
6.1.3    確保本中心所提供軟硬體資源之可用性,合法及正確地使用。
6.2    資訊安全原則
6.2.1    重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。
6.2.2    資訊資產存取權限應予以區分,考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。
6.2.3    對於資訊安全事件須有完整的通報及應變措施,以確保資訊(通)系統、業務的持續運作。
6.2.4    應訂定營運持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。
6.2.5    相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。
6.2.6    定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。
6.2.7    違反本政策與長庚大學資訊安全管理辦法相關規範,依相關法規或本校懲戒規定辦理。
6.3    雲端安全管理原則
         雲服務的提供應考量
6.3.1    適用雲服務的設計和執行之安全要求。

6.3.2    多租戶之間隔離及虛擬化管理。
6.3.3    已授權人員的風險。
6.3.4    雲服務提供者維護人員存取雲端使用者資產之情形。
6.3.5    存取控制程序。
6.3.6    雲端使用者變更需求的溝通管理。
6.3.7    虛擬化安全。
6.3.8    雲端使用者資料存取及保護。
6.3.9    雲端使用者帳號申請、註銷或異動管理。
6.3.10    協助調查或舉證之違規及資訊分享之方式。
6.4    資訊安全政策之審查
6.4.1    資訊安全政策配合管理審查會議進行資訊安全政策審核。
6.4.2    本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。
6.5    資訊安全政策之實施
本政策經「資訊安全推動委員會」核定後實施,修訂時亦同。
7    參考文件
無。
8    表單及紀錄
無。