桃園市政府地政局及所屬各地政事務所
資訊安全政策
第1.3版
文件編號:LANDTYCG-01-01-00
修訂日期:108年07月12日
_____________________________________________________________________________________________________ |
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 1/7 | |
文件制/修訂紀錄表
文件版本 | 日期 | 內容 | 單位 | 承辦人 | 文件管制員 |
1.0 | 105.05.13 | 新擬定文件 | 風險評鑑分組 | 王俊程 | 王俊程 |
1.1 | 106.07.19 | 封面調整組織名稱 | 風險評鑑分組 | 王俊程 | 王俊程 |
1.2 | 107.07.04 | 新增參考文件 | 風險評鑑分組 | 王俊程 | 王俊程 |
1.3 | 108.07.12 | 新增可用性之政策要求 | 風險評鑑分組 | 王俊程 | 王俊程 |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
__________________________________________________1___________________________________________________
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 2/7 | |
目錄
| 壹、 | 目的 ......................................... | 3 |
| 貳、 | 名詞解釋 ....................................... | 3 |
| 參、 | 適用範圍 ....................................... | 3 |
| 肆、 | 政策 ......................................... | 3 |
| 伍、 | 資訊安全管理制度要求 ................................. | 4 |
| 陸、 | 資訊安全管理制度之改進 ................................ | 6 |
| 柒、 | 政策審查 ....................................... | 7 |
| 捌、 | 參考文件 ....................................... | 7 |
| 玖、 | 附件(或使用表單) .................................. | 7 |
__________________________________________________2___________________________________________________
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 3/7 | |
壹、 | 目的 |
| 桃園市政府地政局(以下簡稱本局)及所屬各地政事務所(以下簡稱各地所)為強化資訊安全管理,建立安全及可信賴之地政資訊環境,確保資料、系統、設備及網路安全之完整性、可用性與機密性,以達「落實資訊安全,業務永續維運」之目標,特訂定本資訊安全政策(以下簡稱本政策)。 |
貳、 | 名詞解釋 |
| 一、 | 資訊安全:保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。 |
| 二、 | 機密性(Confidentiality):指使資訊不可用,或不揭露予未經授權之個人、個體或過程的性質,確保只有經過授權的人才能存取資訊資產。 |
| 三、 | 完整性(Integrity):指保護資產的準確度(Accuracy)及完全性(Completeness)的性質,確保資訊資產之處理方法的準確性及完整。 |
| 四、 | 可用性(Availability):指經授權個體因應需求之可存取及可使用之性質,確保經授權之使用者在需要時,可以使用資訊資產。 |
參、 | 適用範圍 |
| 本局及各地所(以下簡稱各機關)所有同仁。 |
肆、 | 政策 |
| 各機關之「資訊安全政策」,以建立一個具機密性、完整性與可用性的資訊安全環境之目的。 |
| 一、 | 確保資訊資產受適當的保護,防止未經授權之不當存取。 |
| 二、 | 資訊系統中敏感資訊要有適當的保護,以防止非法竄改。 |
| 三、 | 確保資訊不會在傳遞過程中,或因無意間的行為,透露給未經授權的第三者。 |
__________________________________________________3___________________________________________________ |
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 4/7 | |
| 四、 | 確保資訊系統於服務時間內,提供授權的使用者正常存取。 |
伍、 | 資訊安全管理制度要求 |
| 一、 | 一般要求 |
| | 在整體營運活動與其所面臨資訊安全風險中,以建立、實作、運作、監視、審查、維持機制之資訊安全管理制度(以下簡稱本制度)。 |
| 二、 | 資訊安全管理制度之建立與管理 |
| | 依據ISO 27001國際標準要求與附錄A之控制目標、控制措施,建立各機關之資訊安全管理制度。 |
| 三、 | 驗證範圍 |
| | (一) | 「(LANDTYCG-02-20-00)適用性聲明書」含管理制度範圍。 |
| | (二) | 資訊安全之風險管理流程 |
| |  |
__________________________________________________4___________________________________________________ |
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 5/7 | |
| | (三) | 依據「(LANDTYCG-02-05-00)風險評鑑與管理程序」,評估各機關本次驗證範圍內資訊資產之風險,並對評估結果訂定可接受之風險等級。 |
| | (四) | 資訊安全管理制度實施過程中,所選擇的控制目標與控制方法,經實際運作並提出佐證資料後證明有效。 |
| | (五) | 適用性聲明中所選擇不適用之控制目標,均有適當之理由。 |
| 四、 | 文件與紀錄管制 |
| | (一) | 資訊安全管理制度的文件與各項紀錄,由「(LANDTYCG-02-03-01)文件表單一覽表」編列管制。 |
| | (二) | 所建立之資訊安全管理制度文件,依照ISO 27001國際標準之條文要求與附錄A控制目標、控制措施,編撰對應之作業程序書、風險評鑑報告與風險處理計畫。 |
| 五、 | 文件管制 |
| | 資訊安全管理制度文件之制訂、增修、審核、識別、登錄、發行、使用、存檔、廢止等作業,依照「(LANDTYCG-02-03-00)文件與紀錄管制程序」執行。 |
| 六、 | 管理階層責任 |
| | (一) | 管理階層承諾 |
| | | 各機關管理階層承諾下列事項: |
| | | 1. | 確保資訊安全政策已經建立。 |
| | | 2. | 確保 ISO 27001 國際標準條文要求與附錄A之控制目標、控制措施,均已實施。 |
| | | 3. | 資訊安全管理制度之組織職掌與分工已成立並開始運作。 |
| | | 4. | 資訊安全政策宣達至相關單位與人員。 |
| | | 5. | 持續實施資訊資產風險管理、評估與改善。 |
| | | 6. | 制(修)訂風險評鑑後之可接受風險值(分數)。 |
| | | 7. | 提供充分資源,維持本系統持續改善與運作。 |
__________________________________________________5___________________________________________________
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 6/7 | |
| | | 8. | 執行本系統之管理審查(Management Review) |
| | (二) | 資源管理 |
| | | 1.資源提供 |
| | | (1) | 建立、實作、運作、監控、審查、維持及改進本系統。 |
| | | (2) | 確保已實施之資訊安全管理制度所有相關文件,均保持其完整性與可用性。 |
| | | (3) | 與供應商簽訂之契約,皆已明訂資訊安全條款。 |
| | | (4) | 對所有已經實作的管控措施,提供最新的資訊安全資訊與技術,持續改善。 |
| | | (5) | 對本制度稽核、審查發現之缺失,優先提供改進資源。 |
| | | (6) | 對任何可以改進本制度之有效性措施,提供適當改進資源。 |
| | | 2.訓練、認知及能力 |
| | | | 資訊安全管理制度之有關訓練、認知及能力需求等作業,依照「(LANDTYCG-02-06-00)人員安全管理程序」實施。 |
| 七、 | 稽核 |
| | 依照「(LANDTYCG-02-16-00)內部稽核管理程序」,執行資訊安全內部稽核。 |
| 八、 | 管理審查(Management Review) |
| | 依「(LANDTYCG-02-01-00)資訊安全組織管理程序」,實施資訊安全之管理審查。 |
陸、 | 資訊安全管理制度之改進 |
| 一、 | 持續改進 |
| | 經由資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控,加以分析並提出矯正措施,經審查矯正措施實施效果,作為持續改進本系統之依據。 |
__________________________________________________6___________________________________________________
 | 文件名稱 | 資訊安全政策 | 文件編號 | LANDTYCG- 01-01-00 | 文件安 全分級 | 公開 | 制定單位 | 桃園市政府地政局 | 撰寫人員 | 王俊程 | 核定人員 | 本局資訊安全長 | 發行日期 | 108.07.12 | 版次 | 1.3 | 頁次 | 7/7 | |
| 二、 | 矯正措施 |
| | 依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全事件監控時所發現之缺失,提出矯正措施加以改善。 |
| 三、 | 矯正對策 |
| | 依照「(LANDTYCG-02-18-00)矯正管理程序」,對資訊安全政策執行、資訊安全目標績效檢討、資訊安全稽核實施與資訊安全監控時所發現之缺失,經改善後提出矯正對策並加以規範。 |
柒、 | 政策審查 |
| 本政策每年應至少評估1次,以反映政府各項安全政策、法令、技術及各機關業務之最新狀況,確保安全實務作業之可行性及有效性。 |
捌、 | 參考文件 |
| 一、 | (LANDTYCG-02-20-00)適用性聲明書。 |
| 二、 | (LANDTYCG-02-05-00)風險評鑑與管理程序。 |
| 三、 | (LANDTYCG-02-03-00)文件與紀錄管制程序。 |
| 四、 | (LANDTYCG-02-06-00)人員安全管理程序。 |
| 五、 | (LANDTYCG-02-16-00)內部稽核管理程序。 |
| 六、 | (LANDTYCG-02-01-00)資訊安全組織管理程序。 |
| 七、 | (LANDTYCG-02-18-00)矯正管理程序。 |
| 八、 | ISO 27001國際標準。 |
| 九、 | 資通安全管理法。 |
玖、 | 附件(或使用表單) |
| (LANDTYCG-02-03-01)文件表單一覽表。 |
__________________________________________________7___________________________________________________ |