資訊安全宣告
- 發布日期:
- 發布單位:移民資訊組‧資訊安全科
- 資料點閱次數:27940
- 更新日期:2024-07-22
為遵循相關法令並保護移民署(以下簡稱本署)資產之安全(資產包括資訊、軟體、硬體、技術服務、人員等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,同時導入本署資訊安全管理系統(ISMS),特制訂本署資訊安全政策,確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求以做為遵循依據。
二、依據
本署資訊安全政策(以下簡稱本政策)係依據本署之任務目標及資訊安全管理標準ISO 27001CNS27001驗證之精神及要求、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「個人資料保護法及施行細則」等相關法令與規定而訂定。
三、政策說明
(一)資訊安全本質:資訊安全之本質大致歸為以下3類 :
1.可用性-Availability:獲得授權的個體(Entity)要求時可以存取並使用的特性。
2.完整性-Integrity:將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
3.機密性- Confidentiality:資訊不被未經授權的個人、實體或過程取得或揭露的特性。
本署資訊安全即為確保本署資產之機密性、完整性與可用性。
(二)政策目的與說明:為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資產之安全,本署之資訊安全政策訂為:
1.確保入出國及移民署相關業務資訊之機密性,防止本署機敏與民眾個人資料外洩與遺失。
2.確保入出國及移民署相關業務資訊之完整性與可用性,以遂行本署各項業務。
3.本政策係依據組織發展需要與考量資訊資產風險,透過系統化之風險評鑑方法,以鑑別資產之風險,並依評鑑結果進行風險之處理與管理,同 時建立各項規劃、操作與控制資訊安全過程之書面程序,藉以建立一個完整、可行、有效之資訊安全管理系統(ISMS),以提供本署資訊安全之最佳保障。本資 訊政策每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
(三)目標:
1.防止駭客入侵:全年被成功入侵次數應低於1 次。
2.確保資訊服務提供的持續性:除因必要之停機維護及中華電信無預警斷線外,全年入出國及移民查驗服務達到全年98%以上之可用性(每年系統服務中斷不超過6 次,每次時間不超過20 分鐘)。
3.符合法令與合約要求:確保重大資安事件全年不多於1 件(不含外館)。
4.確保資訊安全管理系統之有效性:每年實施資訊資產風險評鑑作業至少3 次、每年實施內部稽核作業至少2次、每年召開資訊安全管理審查會議至少2 次。
5.防範系統漏洞及彌補系統缺陷:對外網頁程式過版前皆應完成弱點掃描作業,並每半年執行1 次整體弱點掃描作業。
6.確保業務永續經營計畫之可行性及單位災害回復能力:每年舉辦災害復原演練至少每季1次。
7.強化人力資源安全:每年完成辦理資通安全專職人員12小時以上資安專業課程訓練或資安職能訓練、資通安全專職人員以外之資訊人員、一般使用者及主管至少3小時之資訊安全教育訓練。
四、適用範圍
資訊安全管理系統的適用範圍為本署資訊記錄、電腦系統與相關資訊設備、實體運作環境(機房內部)、所屬之人 員及相關作業流程,說明如下:
(一)資訊記錄:
本署入出國及移民資訊系統之資料庫、資料檔、系統規劃與設計文件、使用與操作手冊、契約、教育訓練教材、制度建立以及相關的工作協議書等。
(二)電腦系統:
本署入出國及移民資訊系統之相關電腦作業系統、應用系統、開發工具、套裝軟體、公用程式等。
(三)人員:
1.內部人員:應用系統開發與維護人員、系統管理人員、資訊與設備擁有者及保管人、資訊文件製作人員以及一般使用者,包括正式人員與非正式人員(含替代役男)。
2.外部人員:其他公務機關、承包商與訪客。
(四)實體 辦公室、機房:本署辦公區與設備管制機房。
(五)硬體設備:
1.電腦:伺服器、可攜式電腦與個人電腦......等。
2.通訊設備:集線器、路由器、網路交換機、傳輸線路、數據機與傳真機......等。
3.儲存媒體:抽取式硬碟、磁帶機、磁帶、磁碟片、光碟片、PKI 卡與識別證感應卡......等。
4.其他:不斷電系統、印表機、影印機、掃瞄器、燒錄機、空調設備與門禁設備......等。
五、責任劃分
為使資訊安全管理系統有效運行,本署各單位之權責劃分如下:
(一)為確保資訊安全措施取得管理階層之實際支持,本署高階主管 (署長、副署長與主任秘書 )應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全推行暨處理小組,以配置資訊安全責任與進行有效之資源管理。
(二)資訊安全推行暨處理小組之成員,應積極參與資訊安全管理系統(ISMS)之各項活動,小組之召集人與副召集人應充分對資訊安全管理系統(ISMS)支持與承諾,並確保本政策符合本署任務與高階主管之要求。
(三)資訊安全推行暨處理小組之召集人亦為本署資訊安全代表,召集人因故無法參與各項資訊安全活動時由代理人代理之。
(四)本署各單位應透過適當程序落實本政策之要求。
(五)所有人員、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
(六)所有人員皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。
(七)其他規定
1.本署所有人員違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
2.本署所有人員應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許禁止做任何其他未經授權之使用。
3.外部人員違反本署資通安全政策者,應依合約條款或發函告知所屬單位,訴諸適當之處置程序或法律行動處理。 修訂 本政策應至少每年評估 1次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。