一、目的
臺中市政府財政局(以下簡稱本局)資訊相關系統設備除提供內部人員作業處理外,亦透過電腦網路提供與市民互動之溝通管道,其相關資通系統作業應用之持續性運作,攸關本局形象及業務推動,故訂定本資通安全管理政策(以下簡稱本政策),作為資通安全工作之指導方針,藉以降低資通風險。
二、適用範圍
本局所有單位,及往來委外廠商均應遵守資通安全管理政策。
三、依據
(一) ISO/IEC 27001:2022(Information security, cybersecurity and privacy protection − Information security management systems – Requirements)。
(二) ISO/IEC 27002:2022(Information security, cybersecurity and privacy protection − Information security controls)。
(三) CNS 27001:2023 資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項。
(四) CNS 27001:2023 資訊安全、網宇安全及隱私保護-資訊安全管控措施。
(五) 資通安全管理法及相關子法。
四、資通安全管理政策
為確保資訊系統安全及建立可信賴之環境,相關使用者需經過正常程序之申請授權,方能閱讀或存取授權範圍內之機敏資訊,期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用,及避免資訊與系統被無意或惡意之竄改或變更,並確保智慧財產權及個人資料都能得到妥適的保護,避免不當的使用。以簡單易記且符合資訊安全管理目標為原則,訂定資訊安全政策聲明兩大方向:
(一) 確保系統可用性,強化資安防護力,持續更新並精進,資安不能靠運氣。
(二) 機密資料保護好,完整正確不可少,持續服務為首要,養成習慣沒煩惱。
五、目標
資訊安全目標之核定應參考資通安全政策,每年於管理審查會檢討及議定下年度之目標。
六、組織內傳達
為使本局之政策、需求及目標能有效地傳達到與業務相關之關注方,將利用媒體、函文、會議、網頁、電子郵件及文宣等途徑,進行彼此關注議題討論及溝通,於必要時得邀請相關人員參與,並留存紀錄做為後續之依據。
七、持續改善之承諾
本政策每年應至少於管理審查會議時評估檢討,以反映本局資通安全需求、政府法令法規、外在網路環境變化及資通安全技術等最新發展現況,以確保其對於維持營運和提供適當服務的能力。本政策如遇重大改變時應立即審查,以確保其適當性與有效性。必要時應告知與業務相關之關注方,以利共同遵守。