跳到主要內容區塊

桃園市政府地政局

桃園市政府地政局及所屬各地政事務所

資訊安全政策

第1.3版

文件編號:LANDTYCG-01-01-00

修訂日期:108年07月12日

  • 文件名稱資訊安全政策
  • 文件編號LANDTYCG-01-01-00
  • 文件安全分級公開
  • 制定單位桃園市政府地政局    
  • 撰寫人員
  • 核定人員本局資訊安全長
  • 發行日期108.07.12
  • 版次1.3
  • 頁次1/1
文件制/修訂紀錄表
文件版本日期內容單位承辦人文件管制員
1.0105.05.13新擬定文件風險評鑑分組

1.1106.07.19封面調整組織名稱風險評鑑分組

1.2107.07.04新增參考文件風險評鑑分組

1.3108.07.12新增可用性之政策要求風險評鑑分組

-1-

  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局    
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:2/7

目錄

壹、    目的 .........................................    

貳、    名詞解釋 .......................................    

參、    適用範圍 .......................................    

肆、    政策 .........................................    

伍、    資訊安全管理制度要求 .................................    

陸、    資訊安全管理制度之改進 ................................    

柒、    政策審查 .......................................    

捌、    參考文件 .......................................    

玖、    附件(或使用表單) ..................................    

-2-


  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局    
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:3/7


壹、    目的

桃園市政府地政局(以下簡稱本局)及所屬各地政事務所(以下簡稱各地所)為強化資訊安全管理,建立安全及可信賴之地政資訊環境,確保資料、系統、設備及網路安全之完整性、可用性與機密性,以達「落實資訊安全,業務永續維運」之目標,特訂定本資訊安全政策(以下簡稱本政策)。

 貳、    名詞解釋

一、    資訊安全:保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。

二、    機密性(Confidentiality):指使資訊不可用,或不揭露予未經授權之個人、個體或過程的性質,確保只有經過授權的人才能存取資訊資產。

三、    完整性(Integrity):指保護資產的準確度(Accuracy)及完全性(Completeness)的性質,確保資訊資產之處理方法的準確性及完整。

四、    可用性(Availability):指經授權個體因應需求之可存取及可使用之性質,確保經授權之使用者在需要時,可以使用資訊資產。

參、    適用範圍

本局及各地所(以下簡稱各機關)所有同仁。

肆、    政策

各機關之「資訊安全政策」,以建立一個具機密性、完整性與可用性的資訊安全環境之目的。

一、    確保資訊資產受適當的保護,防止未經授權之不當存取。

二、    資訊系統中敏感資訊要有適當的保護,以防止非法竄改。

三、    確保資訊不會在傳遞過程中,或因無意間的行為,透露給未經授權的第三者。

-3-


  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:4/7


四、    確保資訊系統於服務時間內,提供授權的使用者正常存取。

伍、    資訊安全管理制度要求

一、    一般要求
在整體營運活動與其所面臨資訊安全風險中,以建立、實作、運作、監視、審查、維持機制之資訊安全管理制度(以下簡稱本制度)。

二、    資訊安全管理制度之建立與管理
依據ISO 27001國際標準要求與附錄A之控制目標、控制措施,建立各機關之資訊安全管理制度。

三、    驗證範圍
(一)    「(LANDTYCG-02-20-00)適用性聲明書」含管理制度範圍。
(二)    資訊安全之風險管理流程

資訊安全之風險管理流程

-4-


  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:5/7


(三)    依據「(LANDTYCG-02-05-00)風險評鑑與管理程序」,評估各機關本次驗證範圍內資訊資產之風險,並對評估結果訂定可接受之風險等級。
(四)    資訊安全管理制度實施過程中,所選擇的控制目標與控制方法,經實際運作並提出佐證資料後證明有效。
(五)    適用性聲明中所選擇不適用之控制目標,均有適當之理由。

四、    文件與紀錄管制
(一)    資訊安全管理制度的文件與各項紀錄,由「(LANDTYCG-02-03-01)文件表單一覽表」編列管制。
(二)    所建立之資訊安全管理制度文件,依照ISO 27001國際標準之條文要求與附錄A控制目標、控制措施,編撰對應之作業程序書、風險評鑑報告與風險處理計畫。

五、    文件管制
資訊安全管理制度文件之制訂、增修、審核、識別、登錄、發行、使用、存檔、廢止等作業,依照「(LANDTYCG-02-03-00)文件與紀錄管制程序」執行。

 六、    管理階層責任
(一)    管理階層承諾
各機關管理階層承諾下列事項:
1.    確保資訊安全政策已經建立。
2.    確保 ISO 27001 國際標準條文要求與附錄A之控制目標、控制措施,均已實施。
3.    資訊安全管理制度之組織職掌與分工已成立並開始運作。
4.    資訊安全政策宣達至相關單位與人員。
5.    持續實施資訊資產風險管理、評估與改善。
6.    制(修)訂風險評鑑後之可接受風險值(分數)。
7.    提供充分資源,維持本系統持續改善與運作。

-5-


  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:6/7

8.    執行本系統之管理審查(Management Review)

(二)    資源管理
1.資源提供
(1)    建立、實作、運作、監控、審查、維持及改進本系統。
(2)    確保已實施之資訊安全管理制度所有相關文件,均保持其完整性與可用性。
(3)    與供應商簽訂之契約,皆已明訂資訊安全條款。
(4)    對所有已經實作的管控措施,提供最新的資訊安全資訊與技術,持續改善。
(5)    對本制度稽核、審查發現之缺失,優先提供改進資源。
(6)    對任何可以改進本制度之有效性措施,提供適當改進資源。
2.訓練、認知及能力
資訊安全管理制度之有關訓練、認知及能力需求等作業,依照「(LANDTYCG-02-06-00)人員安全管理程序」實施。

七、    稽核
依照「(LANDTYCG-02-16-00)內部稽核管理程序」,執行資訊安全內部稽核。

八、    管理審查(Management Review)
依「(LANDTYCG-02-01-00)資訊安全組織管理程序」,實施資訊安全之管理審查。 

陸、    資訊安全管理制度之改進

一、    持續改進
經由資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控,加以分析並提出矯正措施,經審查矯正措施實施效果,作為持續改進本系統之依據。

-6-


  • 文件名稱:資訊安全政策
  • 文件編號:LANDTYCG-01-01-00
  • 文件安全分級:公開
  • 制定單位:桃園市政府地政局
  • 撰寫人員:
  • 核定人員:本局資訊安全長
  • 發行日期:108.07.12
  • 版次:1.3
  • 頁次:7/7


二、    矯正措施
依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全事件監控時所發現之缺失,提出矯正措施加以改善。三、    矯正對策
依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控時所發現之缺失,經改善後提出矯正對策並加以規範。 

柒、    政策審查

本政策每年應至少評估1次,以反映政府各項安全政策、法令、技術及各機關業務之最新狀況,確保安全實務作業之可行性及有效性。

捌、    參考文件

一、    (LANDTYCG-02-20-00)適用性聲明書。
二、    (LANDTYCG-02-05-00)風險評鑑與管理程序。
三、    (LANDTYCG-02-03-00)文件與紀錄管制程序。
四、    (LANDTYCG-02-06-00)人員安全管理程序。
五、    (LANDTYCG-02-16-00)內部稽核管理程序。
六、    (LANDTYCG-02-01-00)資訊安全組織管理程序。
七、    (LANDTYCG-02-18-00)矯正管理程序。
八、    ISO 27001國際標準。
九、    資通安全管理法。 

玖、    附件(或使用表單)

(LANDTYCG-02-03-01)文件表單一覽表。

-7-