資訊安全政策
臺灣鐵路管理局(以下簡稱本局)在目前的業務運作環境中,舉凡辦公室自動化、業務資訊系統化、人事薪工系統等業務系統,資訊科技扮演非常重要的角色,由此可見資訊資源是本局重要的資產需要加以保護。
為確保本局業務正常運作,所有資訊系統能持續運作而不中斷是絕對必要的。另由於網際網路的便利及普及,使得本局的資訊環境必須與外界接軌,因而帶來新的管理課題、挑戰與責任,諸如資訊在局內處理業務系統、或是由辦公室套裝軟體所產生的資訊,均有可能發生不同層次的潛在威脅,需要加以適當的管理,以免因天災或人為的不當,殃及本局業務的運作。鑒此,本局資訊安全機制的建置與施行,實屬當務之急。
資訊安全著重於確保資訊能持續使用無礙,而保護資訊與資訊系統是建置資訊安控系統的原動力;而一有效的安控機制需要來自局內上級長官的承諾支持、全體同仁的持續參與、以及各種所屬業務規範的訂定與遵循,其中資訊安全政策的訂定與施行是首要之務,其要項如下:
- 訂定發展與維運資訊安全管理系統的方式。
- 訂定資訊安全的目標框架。
- 訂定資訊安全組織與權責。
- 訂定實施資訊安全活動的原則。
藉此政策教育相關人員,使之瞭解資訊資產的機密性、完整性與可用性,及其保護的方法,期能有效地配合政策之施行。此政策內容包括目的、目標、聲明、適用範圍、任務編組、實施方式與實施原則等。
目的
資訊安全管理的目的在於保護資訊免受內部或外部,蓄意或意外之威脅。本局經營大眾運輸事業,攸關民生與經濟發展,為維護資訊之完整性與可用性,故實施本政策是非常重要的。本局資訊安全政策目的分述如下:
- 宣示本局提供安全運作環境的決心與承諾。
- 本局落實電子化政府計畫,發展資訊系統使用程序的長期指導方針。
- 鑑別資訊安全活動的基本評估方法,確保資源有效地運用於資訊安全活動。
- 提供資訊系統與網路設計的基礎架構需求與相關採購規格的依據。
- 為本局資訊安全手冊的根本。
- 為本局使用資訊系統的行為準則,經由有效的資訊安全教育訓練,讓所有同仁瞭解,以避免相關人員以不知行為準則為藉口,而做出違反本局規範的行為。
- 為本局內部稽核單位與人員稽核之依據。
- 為本局認知與提出關於資訊資產在法律規章與契約上需求的依據。
