資訊安全政策
1
目的
朝陽科技大學(以下簡稱本校)為強化資訊安全管理,以確保本校所屬資訊資產免於遭受內、外部之蓄意或意外等威脅。本校所屬資訊資產多且維運繁瑣,為達成資訊安全之一致性,故制定本校資訊安全管理政策(以下簡稱本政策),提供相關人員共同遵循。

2
範圍
本校圖書資訊處所提供之資訊網路連線服務、網路應用服務、校務資訊化服務、資訊安全防護服務、圖書服務、電子資源提供等相關資訊、硬體、軟體、人員、服務/基礎設施。

3
定義
資訊安全之本質為確保本校資訊服務系統之機密性、完整性與可用性,以達成資訊服務持續營運之目標。
3.1  機密性(Confidentiality):資訊不可取得或不可公開於未經授權的個體、實體或過程之特性。
3.2  完整性(Integrity):確保各項資訊資產之完整,以期組織能正確運用該項資產。
3.3  可用性(Availability):確保各項資訊資產能提供即時且正確的服務。

4
內容
4.1  確保本校所屬之資產之機密性、完整性、可用性及正確性,提供持續營運發展之所需,並配合主管機關資訊安全管理政策之推動,持續提升資訊安全之防護能力。
4.2  資訊安全是本校全體員工的共同責任,各級員工必須充分理解並貫徹所負職責。
4.3  資訊安全管理系統的建立和維持,完全依據法律法規的要求及合約的安全責任,並和學校的組織風險管理背景相結合。
4.4  為有效管控資訊安全風險,必須建立包括風險評估方法、資訊安全法律法規要求、接受風險的標準、及風險之可接受程度等之風險評估曁作業管理程序,並落實執行。
4.5  每年至少召開一次管理審查會議,審核圖資處資訊安全業務執行狀況,建立管理指標量測方式與評估管理指標量測結果。
4.6  每年應至少進行一次重要關鍵營運流程之營運持續計畫演練、測試及檢討。
4.7  違反本政策與本校之資訊安全相關規範,依相關法規或本校懲戒規定辦理。

5
實施
5.1  本政策經工作小組討論修訂並經執行秘書核定後發行,對本校教職員工及相關外部各方公布及傳達,修訂時亦同。
5.2  本政策應至少每年評估一次,以符合政府法令之要求,並反映資訊科技發展趨勢,確保本校資訊安全作業之有效性。

6
參考文件
6.1  朝陽科技大學個人資料保護管理要點。
6.2  ISO/IEC 27001

7
使用表單
無。



更新日期 2016/07/05