| 一、機密性(Confidentiality) |
| |
任何資訊儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要維持其機密性: |
| |
(一) |
由遠端存取本局Intranet資訊必須要有防範機制,以防在資訊傳輸途中被竊取。 |
| |
(二) |
本局內部資訊系統中,較機密的資訊(包括電子檔或紙本)亦要有適當的保護,以防非法存取。 |
| |
(三) |
稽核紀錄保有重要活動的詳細資料亦要妥善保護,僅授權予適當人員存取。 |
| |
|
|
| 二、完整性(Integrity) |
| |
任何資料儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要保護,以防不當竄改及資訊系統在運作中被不當的操縱或入侵。 |
| |
(一) |
由遠端存取本局Intranet資訊必須要有防範機制,以防在資訊傳輸途中被竄改。 |
| |
(二) |
本局內部資訊系統中,較機密的資訊亦要有適當的保護,以防非法存取。 |
| |
(三) |
資訊系統的存取權限、威脅與脆弱點要加以控管以維持其完整性。 |
| |
|
|
| 三、可用性(Availability) |
| |
確保資訊與系統持續運轉無誤,當合法使用者要求使用資訊系統時,例如:收/送電子郵件、OA應用系統等,使用者均可在適當的時間內獲得回應,並完成服務需求,此可用性需與前二項機密性與完整性配合一起考慮,以符合既定的目標。例如線上資訊加密或記錄稽查資料會影響系統回覆時間或引來阻斷式服務而造成無法符合可用性。 |
| |
而上述三目標具體呈現與實際執行方式說明如后: |
| |
|
|
| 四、訂定具體安全目標 |
| |
以CIA為基準,訂定相關安全目標,包括下列項目: |
| |
(一) |
降低應用系統錯誤數10% |
| |
(二) |
降低中毒次數10% |
| |
(三) |
維持重要主機系統設備可用度為99.5% |
| |
(四) |
降低其他資安事件次數10% |
| |
每年修訂此目標,且提報資安指導委員會核准 |
| |
|
|
| 五、訂定安全指標 |
| |
依據安全目標訂定安全指標,可包括下列各項: |
| |
(一) |
應用系統錯誤數量(Bug number) |
| |
(二) |
中毒事件次數 |
| |
(三) |
重要主機系統可用度 |
| |
|
|
| 六、蒐集前述安全指標的方法 |
| |
在資訊安全管理系統中,建置蒐集前述安全指標的機制,以確認執行成效。蒐集資料的安控機制包括下列各項: |
| |
(一) |
資訊安全程序書,I-ISMS2201-XX 之 |
| |
|
1. 2.4 資安事件管理
2. 2.8 監督系統使用狀況
3. 2.11 智慧財產使用管理
4. 2.12 內部資訊安全稽核 |
| |
(二) |
資訊安全事件處理辦法 I-ISMS2304-XX |
| |
(三) |
業務持續運作管理 I-ISMS2305-XX |
| |
(四) |
內部資訊安全稽核辦法 I-ISMS2306-XX |
| |
(五) |
安全檢查及門禁管理辦法 I-ISMS2322-XX |
| |
|
|
| 七、提報資安事件彙總資料 |
| |
每季向資安指導委員會或局務會報提報資安事件彙總資料,說明資訊安全管理系統實施狀況。 |
| |
|
|
目標
