- 目的
國家表演藝術中心臺中國家歌劇院(以下簡稱本場館)為落實資通安全管理,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊取、不當使用、洩漏、竄改或毀損等風險,特訂定「資訊安全政策」(以下簡稱本政策),以達成資通訊之機密性、完整性、可用性與適法性。
本場館資訊安全政策聲明如下:
『確保藝文業務順利運行,防止資通系統或資訊資料遭竊取、不當使用、洩漏、竄改或毀損,並符合其機密性、完整性、可用性及適法性』 - 依據
- ISO/IEC 27001:2022(Information security, cybersecurity and privacy protection - Information security management systems - Requirements)
- CNS 27001
- ISO/IEC 27002:2022(Information security, cybersecurity and privacy protection - Information security controls)
- 行政院及所屬各機關資訊安全管理規範
- 國家資通訊安全發展方案
- 資通安全管理法及其相關子法
- 國家表演藝術中心資通安全維護計畫
- 名詞解釋
- 機密性(Confidentiality) :確保只有經過授權的人才能存取資訊資產。
- 完整性(Integrity) :確保資訊資產的完整性(Completeness)及其處理方法的準確性。
- 可用性(Availability) :確保授權的使用者在需要時,可以使用資訊資產。
- 適法性(Legality) :符合國家相關法令規範。
- 範圍
本場館資訊安全管理制度(ISMS)適用於本場館所有業務,包含全體員工、與本場館業務往來之外部機關、對本場館提供服務或勞務之廠商及訪客。 - 組織
為統籌資通管理等事項之規劃、執行、稽核及矯正活動,應建立資訊安全推動組織,並依資訊安全管理組織程序書辦理。 - 目標
- 資通系統遭未經授權存取,導致機敏性資訊外洩或遭篡改情形,未依規範於時限內通報,一年不超過1件。
- 核心資通系統可用性最低需達97%以上。(每季中斷時數小於72小時,一季不超過1件)
- 弱點修補成效分析無特殊原因,高風險弱點超過一個月內未修補者,一年不超過4件。
- 依據「資通安全責任等級分級辦法」,完成資通安全責任等級C級之公務機關應辦事項。
- 實施內容
相關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效(量測指標),實施程序参見資通安全實施程序書。- 各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法、資通安全管理法及相關子法等)之規定。
- 負責資訊安全管理制度(ISMS)之建立及推動事宜。
- 定期實施資通安全教育訓練,宣導本政策及相關實施規定。
- 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
- 為考量各專案管理之資通安全,應於研擬專案作業計畫或系統變動前,將資通安全與個資保護納入考量因素,防範發生危害系統安全之情況。
- 建立電腦機房實體及環境安全防護措施,並定期實施相關保養。
- 明確規範資通系統及網路服務之使用權限,防止未經授權之存取動作。
- 建立資通安全事件通報機制,並訂定資訊安全事件應變演練計畫及定期演練。
- 所有人員負有維持資通安全之責任,且應遵守相關之資訊安全管理規定。
- 定期辦理資通安全內部稽核活動及召開管理審查會議,透過不斷持續改善的過程,亦即PDCA(計畫、執行、稽核、改善)精神,確保資訊安全管理系統(ISMS)實施之有效性。
- 實施與修正
- 本政策每年至少審查一次並留下審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及本場館營運要求。
- 本政策奉核定後實施,嗣後內容若須修訂,增減則依文件審核權責辦理、公告之。
- 本政策應以書面、電子(E-MAIL、網頁公告)或其他方式通知本場館員工及接觸本場館業務之公私機關(構)、往來廠商等關注方共同遵守。