返回
华梵大学资讯安全管理作业办法-崇恩集团

华梵大学资讯安全管理作业办法-崇恩集团

ID:19382290

大小:50.50 KB

页数:3页

时间:2018-09-20

华梵大学资讯安全管理作业办法-崇恩集团_第1页
华梵大学资讯安全管理作业办法-崇恩集团_第2页
华梵大学资讯安全管理作业办法-崇恩集团_第3页
资源描述:

《华梵大学资讯安全管理作业办法-崇恩集团》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、98.01.01訂定崇恩集團資訊安全管理辦法第一條為強化資訊安全管理,建立安全及可信賴之電子化系統,確保資料、系統、設備網路之安全,考量日常業務以及使用情況,進行資訊安全安全管理,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各單位資訊蒐集、處理、傳送、儲存及流通之安全,特訂定本辦法。第二條本辦法所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致相關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術

2、等安全措施。第三條本集團有關資訊安全管理事務依下列分工原則:一、資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊開發部負責辦理。二、資料及資訊系統之安全需求研議、使用管理及維護等事項,由資訊開發部會同相關單位負責辦理負責辦理。三、資訊安全稽核事項,由資訊開發部會同相關單位負責辦理。四、資訊安全管理事項之協調及推動,由資訊開發部會同相關單位負責人辦理。第四條資訊安全應定期或不定期進行稽核。第五條各單位對資訊相關職務及工作,應進行安全評估,並於人員晉用、工作及任務指派時,審慎評估人員之適任性,並進行必要之考核;各單位對可存取機密性或敏感

3、性資訊或系統之人員,及因工作需要須配賦系統存取特別權限之人員,由資訊開發部評估及考核。第六條各單位應加強電腦使用能力之培訓,提升資訊安全管理能力,若電腦使用能力或經驗如有不足,得洽請資訊開發部提供協助。針對不同工作類別之需求,定期辦理安全教育訓練及宣導,建立並加強員工資訊安全認知,提升資訊安全水準。第七條各單位負責管理及操作之人員,應實施人員輪調,建立人力備援制度。第八條資訊開發部相關人員離職時,應取消其進出識別證,並確實做好電腦軟硬體及相關文件之移交工作。第九條各單位主管應負責督導所屬員工之資訊作業安全,防範不法及不當行為。第十條各單位對系統

4、變更作業時,應建立控管制度並建立紀錄備查。第十一條各單位使用軟體之權利及義務應依著作權法及有關議定之合約辦理。除因公務需要且經資訊開發部核可外,同仁不得使用點對點(Peer-to-Peer,P2P)分享軟體,資訊開發部及各單位管理人員應定期檢視。第十二條各單位應採行必要之事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。第十三條各單位利用公眾網路傳送資訊或進行資料處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求。第十四條各單位應針對資料傳輸、撥接線路、網路線路與設備、對外連接介面及路

5、由器等事項,研擬妥適安全控管措施。第十五條各單位與外界網路連接之網點,必要時得以防火牆或其他安全設施,控管外界與單位內部網路之資料傳輸及資源存取。第十六條資訊開發部開放外界連線作業之資訊系統,必要時得視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。第十七條各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。單位存有資料及檔案,應加強安全保護措施,防

6、止資料及檔案遭不當之竊取使用。第十八條機密性資料及文件,不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,應視需要以適當之加密或電子簽章等安全技術處理。第十九條各單位應依資訊安全政策,賦予各級人員必要之系統存取權限;賦予之系統存取權限,應以執行任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。第二十條各單位離(休)職人員,應立即取消使用校內各項資訊資源之所有權限,並列入人員離(休)職之必要手續。各單位人員職務調整及調動,應依系統存取授權規定,限期調整其權

7、限。第二十一條資訊開發部應建立使用者註冊管理制,加強通行碼管理,並要求定期更新;其通行碼之更新週期,視作業系統及安全管理需求決定,最長以不超過一年為原則。對單位內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短通行碼更新週期。第二十二條開放給各單位之連線作業,應事前與人員簽訂協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。第二十三條各單位對系統服務廠商以遠端登入方式進行系統維護者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。第二十四條集團之重要資料及系統,不論在機構內外執行,均應採取適當及足夠之安全管制

8、措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。第二十五條各單位應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。