壹、目的

為確保國立屏東高級中學（以下簡稱「本校」）所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本校之業務需求，訂定本政策。

貳、適用範圍

一、本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。

二、資訊安全管理範疇涵蓋 14 項領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校造成各種可能之風險及危害，各領域分述如下：

(一) 資訊安全政策。

(二) 資訊安全之組織。

(三) 人力資源安全

(四) 資產管理。

(五) 存取控制。

(六) 密碼學。

(七) 實體及環境安全。

(八) 運作安全。

(九) 通訊安全。

(十) 系統獲取、開發及維護。

(十一) 供應者關係。

(十二) 資訊安全事故管理。

(十三) 營運持續管理之資訊安全層面。

(十四) 遵循性。

參、目標

為維護本校資訊資產之機密性、完整性與可用性，並保障使用者資料隱私之安全，期藉由本政策之實施以達成下列目標：

一、保護本校業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。

二、保護本校業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。

三、建立本校業務永續運作計畫，以確保本校業務服務之持續運作。

四、確保本校各項業務服務之執行須符合相關法令或法規之要求。

肆、權責

一、本校應成立資訊安全組織統籌資訊安全事項推動。

二、管理階層應積極參與、支持及承諾持續改善資訊安全管理制度，並透過適當的標準和程序以實施本政策。

三、本校全體人員、委外服務廠商與訪客等皆應遵守本政策。

四、本校全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。

五、任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行議處。

伍、管理指標

為評量資訊安全管理目標達成情形，特訂定資訊安全管理指標如下：

一、定量化指標

(一) 確保本校資訊服務可用性之要求如下：

1.資訊機房維運服務達全年服務時間 95%以上。

2.關鍵業務系統服務達全年服務時間 95%以上。

(二) 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事，每年不得超過次數如下：

1.資訊機房維運服務中斷，每季不得超過 2 次。

2.關鍵業務系統服務中斷，每季不得超過 2 次。

(三) 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事，每次最長不得超過工作小時要求如下：

1.資訊機房維運服務中斷，每次最長不得超過8工作小時。

2.關鍵業務系統服務中斷，每次最長不得超過8工作小時。

陸、審查

一、本政策應每年至少審查乙次，以反映政府法令、技術及業務等最新發展情況，確保本校業務永續運作之能力。

柒、實施

一、本政策經「資訊安全委員會」核定後實施，修訂時亦同

• 行政院修正資通安全管理法相關辦法發布施行

  • 發佈日期：2021/9/9 |　

  • 行政院於中華民國110年8月23日修正發布施行，修正條文如下：

  • 一、「資通安全管理法施行細則」第6條、第7條、第13條。

  • 二、「資通安全責任等級分級辦法」第5條、第6條、第7條及第11條附表1至附表8、附表10。

  • 三、「資通安全事件通報及應變辦法」第6條、第13條、第21條。

  • 四、「特定非公務機關資通安全維護計畫實施情形稽核辦法」第3條、第6條、第10條。

  • 五、「資通安全情資分享辦法」第3條、第11條。

  • 六、「公務機關所屬人員資通安全事項獎懲辦法」第4條、第7條。