桃園市政府地政局及所屬各地政事務所
資訊安全政策
第1.3版
文件編號:LANDTYCG-01-01-00
修訂日期:108年07月12日
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:1/1
文件制/修訂紀錄表文件版本 | 日期 | 內容 | 單位 | 承辦人 | 文件管制員 |
---|
1.0 | 105.05.13 | 新擬定文件 | 風險評鑑分組 |
|
|
1.1 | 106.07.19 | 封面調整組織名稱 | 風險評鑑分組 |
|
|
1.2 | 107.07.04 | 新增參考文件 | 風險評鑑分組 |
|
|
1.3 | 108.07.12 | 新增可用性之政策要求 | 風險評鑑分組 |
|
|
-1-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:2/7
目錄
壹、 目的 ......................................... 3
貳、 名詞解釋 ....................................... 3
參、 適用範圍 ....................................... 3
肆、 政策 ......................................... 3
伍、 資訊安全管理制度要求 ................................. 4
陸、 資訊安全管理制度之改進 ................................ 6
柒、 政策審查 ....................................... 7
捌、 參考文件 ....................................... 7
玖、 附件(或使用表單) .................................. 7
-2-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:3/7
壹、 目的
桃園市政府地政局(以下簡稱本局)及所屬各地政事務所(以下簡稱各地所)為強化資訊安全管理,建立安全及可信賴之地政資訊環境,確保資料、系統、設備及網路安全之完整性、可用性與機密性,以達「落實資訊安全,業務永續維運」之目標,特訂定本資訊安全政策(以下簡稱本政策)。
貳、 名詞解釋
一、 資訊安全:保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。
二、 機密性(Confidentiality):指使資訊不可用,或不揭露予未經授權之個人、個體或過程的性質,確保只有經過授權的人才能存取資訊資產。
三、 完整性(Integrity):指保護資產的準確度(Accuracy)及完全性(Completeness)的性質,確保資訊資產之處理方法的準確性及完整。
四、 可用性(Availability):指經授權個體因應需求之可存取及可使用之性質,確保經授權之使用者在需要時,可以使用資訊資產。
參、 適用範圍
本局及各地所(以下簡稱各機關)所有同仁。
肆、 政策
各機關之「資訊安全政策」,以建立一個具機密性、完整性與可用性的資訊安全環境之目的。
一、 確保資訊資產受適當的保護,防止未經授權之不當存取。
二、 資訊系統中敏感資訊要有適當的保護,以防止非法竄改。
三、 確保資訊不會在傳遞過程中,或因無意間的行為,透露給未經授權的第三者。
-3-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:4/7
四、 確保資訊系統於服務時間內,提供授權的使用者正常存取。
伍、 資訊安全管理制度要求
一、 一般要求
在整體營運活動與其所面臨資訊安全風險中,以建立、實作、運作、監視、審查、維持機制之資訊安全管理制度(以下簡稱本制度)。
二、 資訊安全管理制度之建立與管理
依據ISO 27001國際標準要求與附錄A之控制目標、控制措施,建立各機關之資訊安全管理制度。
三、 驗證範圍
(一) 「(LANDTYCG-02-20-00)適用性聲明書」含管理制度範圍。
(二) 資訊安全之風險管理流程
-4-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:5/7
(三) 依據「(LANDTYCG-02-05-00)風險評鑑與管理程序」,評估各機關本次驗證範圍內資訊資產之風險,並對評估結果訂定可接受之風險等級。
(四) 資訊安全管理制度實施過程中,所選擇的控制目標與控制方法,經實際運作並提出佐證資料後證明有效。
(五) 適用性聲明中所選擇不適用之控制目標,均有適當之理由。
四、 文件與紀錄管制
(一) 資訊安全管理制度的文件與各項紀錄,由「(LANDTYCG-02-03-01)文件表單一覽表」編列管制。
(二) 所建立之資訊安全管理制度文件,依照ISO 27001國際標準之條文要求與附錄A控制目標、控制措施,編撰對應之作業程序書、風險評鑑報告與風險處理計畫。
五、 文件管制
資訊安全管理制度文件之制訂、增修、審核、識別、登錄、發行、使用、存檔、廢止等作業,依照「(LANDTYCG-02-03-00)文件與紀錄管制程序」執行。
六、 管理階層責任
(一) 管理階層承諾
各機關管理階層承諾下列事項:
1. 確保資訊安全政策已經建立。
2. 確保 ISO 27001 國際標準條文要求與附錄A之控制目標、控制措施,均已實施。
3. 資訊安全管理制度之組織職掌與分工已成立並開始運作。
4. 資訊安全政策宣達至相關單位與人員。
5. 持續實施資訊資產風險管理、評估與改善。
6. 制(修)訂風險評鑑後之可接受風險值(分數)。
7. 提供充分資源,維持本系統持續改善與運作。
-5-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:6/7
8. 執行本系統之管理審查(Management Review)
(二) 資源管理
1.資源提供
(1) 建立、實作、運作、監控、審查、維持及改進本系統。
(2) 確保已實施之資訊安全管理制度所有相關文件,均保持其完整性與可用性。
(3) 與供應商簽訂之契約,皆已明訂資訊安全條款。
(4) 對所有已經實作的管控措施,提供最新的資訊安全資訊與技術,持續改善。
(5) 對本制度稽核、審查發現之缺失,優先提供改進資源。
(6) 對任何可以改進本制度之有效性措施,提供適當改進資源。
2.訓練、認知及能力
資訊安全管理制度之有關訓練、認知及能力需求等作業,依照「(LANDTYCG-02-06-00)人員安全管理程序」實施。
七、 稽核
依照「(LANDTYCG-02-16-00)內部稽核管理程序」,執行資訊安全內部稽核。
八、 管理審查(Management Review)
依「(LANDTYCG-02-01-00)資訊安全組織管理程序」,實施資訊安全之管理審查。
陸、 資訊安全管理制度之改進
一、 持續改進
經由資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控,加以分析並提出矯正措施,經審查矯正措施實施效果,作為持續改進本系統之依據。
-6-
- 文件名稱:資訊安全政策
- 文件編號:LANDTYCG-01-01-00
- 文件安全分級:公開
- 制定單位:桃園市政府地政局
- 撰寫人員:
- 核定人員:本局資訊安全長
- 發行日期:108.07.12
- 版次:1.3
- 頁次:7/7
二、 矯正措施
依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全事件監控時所發現之缺失,提出矯正措施加以改善。三、 矯正對策
依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控時所發現之缺失,經改善後提出矯正對策並加以規範。
柒、 政策審查
本政策每年應至少評估1次,以反映政府各項安全政策、法令、技術及各機關業務之最新狀況,確保安全實務作業之可行性及有效性。
捌、 參考文件
一、 (LANDTYCG-02-20-00)適用性聲明書。
二、 (LANDTYCG-02-05-00)風險評鑑與管理程序。
三、 (LANDTYCG-02-03-00)文件與紀錄管制程序。
四、 (LANDTYCG-02-06-00)人員安全管理程序。
五、 (LANDTYCG-02-16-00)內部稽核管理程序。
六、 (LANDTYCG-02-01-00)資訊安全組織管理程序。
七、 (LANDTYCG-02-18-00)矯正管理程序。
八、 ISO 27001國際標準。
九、 資通安全管理法。
玖、 附件(或使用表單)
(LANDTYCG-02-03-01)文件表單一覽表。
-7-