資訊安全政策

版本編號：1.6

修訂日期：112年12月25日

1. 目的
   1. 國立金門大學（以下簡稱本校）為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本校之資訊業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。
2. 適用範圍
   1. 本校所有同仁與委外服務供應商及其人員。
3. 定義
   1. 資訊資產：係指為維持本校資訊業務正常運作之硬體、軟體、服務、文件及人員。
4. 資安目標
   1. 維護本校資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。藉由全體同仁共同努力來達成下列資安目標：
      1. 保護本校業務活動資訊、網路資源與各資訊系統安全，避免未經授權的存取、修改，確保其正確完整。
      2. 建立資訊業務永續運作計畫，確保本校業務活動之持續運作。
      3. 辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。
      4. 執行資訊安全風險評鑑機制，提升資訊安全管理之有效性與即時性。
      5. 本校之業務活動執行須符合相關法令或法規之要求。
      6. 建立處理資訊安全事件之作業程序，並課予相關人員必要的責任，以便迅速有效處理資訊安全事件。
5. 責任
   1. 本校的管理階層建立及審查此政策。
   2. 資訊安全管理委員會透過適當的標準和程序以實施此政策。
   3. 所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。
   4. 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
   5. 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行懲處。
6. 審查
   1. 本政策應至少每年審查乙次，以反映政府法令、技術及業務等最新發展現況，以確保本校永續運作及資訊安全實務作業能力。
   2. 根據資通安全管理法之規定，應至少每年審查乙次「資通安全維護計畫」。
7. 實施
   1. 本政策經資安長進行審核後公告實施，修訂時亦同。
   2. 本政策應配合資訊安全管理系統實施，如管理系統有變更應以計畫方式進行變更。
8. 相關文件
   1. 資通安全維護計畫