資訊安全宣告
發布機關:移民資訊組‧資訊安全科
發布日期:2016/5/25
政策緣由
為遵循相關法令並保護移民署(以下簡稱本署)資產之安全(資產包括資訊、軟體、硬體、技術服務、人員等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,同時導入本署資訊安全管理系統(ISMS),特制訂本署資訊安全政策,確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求以做為遵循依據。
依據 本署資訊安全政策(以下簡稱本政策)係依據本署之任務目標及資訊安全管理標準ISO 27001CNS27001驗證之精神及要求、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「個人資料保護法及施行細則」等相關法令與規定而訂定。
政策說明
-
1. 資訊安全本質
資訊安全之本質大致歸為以下3類 :
- (1) 可用性-Availability
獲得授權的個體(Entity)要求時可以存取並使用的特性。
- (2) 完整性-Integrity
將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
- (3) 機密性- Confidentiality
資訊不被未經授權的個人、實體或過程取得或揭露的特性。
本署資訊安全即為確保本署資產之機密性、完整性與可用性。
-
2. 政策目的與說明
為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資產之安全,本署之資訊安全政策訂 為:
- (1) 確保入出國及移民署相關業務資訊之機密性,防止本署機敏與民眾個人資料外洩與遺失。
- (2) 確保入出國及移民署相關業務資訊之完整性與可用性,以遂行本署各項業務。
- (3) 本政策係依據組織發展需要與考量資訊資產風險,透過系統化之風險評鑑方法,以鑑別資產之風險,並依評鑑結果進行風險之處理與管理,同 時建立各項規劃、操作與控制資訊安全過程之書面程序,藉以建立一個完整、可行、有效之資訊安全管理系統(ISMS),以提供本署資訊安全之最佳保障。本資 訊政策每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
-
3. 目標
- (1) 防止駭客入侵:全年被成功入侵次數應低於1 次。
- (2) 確保資訊服務提供的持續性:除因必要之停機維護及中華電信無預警斷線外,全年入出國及移民查驗服務達到全年99.98%以上之可用性(每年系統服務中斷不超過6 次,每次時間不超過20 分鐘)。
- (3) 符合法令與合約要求:確保重大資安事件全年不多於1 件(不含外館)。
- (4) 確保資訊安全管理系統之有效性:每年實施資訊資產風險評鑑作業至少3 次、每年實施內部稽核作業至少2次、每年召開資訊安全管理審查會議至少2 次。
- (5) 防範系統漏洞及彌補系統缺陷:對外網頁程式過版前皆應完成弱點掃描作業,並每半年執行1 次整體弱點掃描作業。
- (6) 保業務永續經營計畫之可行性及單位災害回復能力:每年舉辦災害復原演練至少每季1 次。
- (7) 強化人力資源安全:每年完成辦理主官至少4 小時、主管至少6小時、技術人員至少18 小時、一般人員至少4 小時之資訊安全教育訓練。
適用範圍
-
資訊安全管理系統的適用範圍為本署資訊記錄、電腦系統與相關資訊設備、實體運作環境(機房內部)、所屬之人 員及相關作業流程,說明如下:
- 1. 資訊記錄
本署入出國及移民資訊系統之資料庫、資料檔、系統規劃與設計文件、使用與操作手冊、契約、教育訓練教材、制度建立以及相關的工作協議書等。
- 2. 電腦系統
本署入出國及移民資訊系統之相關電腦作業系統、應用系統、開發工具、套裝軟體、公用程式等。
- 3. 人員
內部人員:應用系統開發與維護人員、系統管理人員、資訊與設備擁有者及保管人、資訊文件製作人員以及一般使用者,包括正式人員與非正式人員(含替代役男)。外部人員:其他公務機關、承包商與訪客。
- 4. 實體
辦公室、機房:本署辦公區與設備管制機房。
-
5. 硬體設備
(1) 電腦:伺服器、可攜式電腦與個人電腦..等。
(2) 通訊設備:集線器、路由器、網路交換機、傳輸線路、數據機與傳真機..等。
(3) 儲存媒體:抽取式硬碟、磁帶機、磁帶、磁碟片、光碟片、PKI 卡與識別證感應卡..等。
(4) 其他:不斷電系統、印表機、影印機、掃瞄器、燒錄機、空調設備與門禁設備..等。
責任劃分
-
為使資訊安全管理系統有效運行,本署各單位之權責劃分如下:
- (1) 為確保資訊安全措施取得管理階層之實際支持,本署高階主管 (署長、副署長與主任秘書 )應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全推行暨處理小組,以配置資訊安全責任與進行有效之資源管理。
- (2) 資訊安全推行暨處理小組之成員,應積極參與資訊安全管理系統(ISMS)之各項活動,小組之召集人與副召集人應充分對資訊安全管理系統(ISMS)支持與承諾,並確保本政策符合本署任務與高階主管之要求。
- (3) 資訊安全推行暨處理小組之召集人亦為本署資訊安全代表,召集人因故無法參與各項資訊安全活動時由代理人代理之。
- (4) 本署各單位應透過適當程序落實本政策之要求。
- (5) 所有人員、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
- (6) 所有人員皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。
-
其他規定
- (1) 本署所有人員違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
- (2) 本署所有人員應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許禁止做任何其他未經授權之使用。
- (3) 外部人員違反本署資通安全政策者,應依合約條款或發函告知所屬單位,訴諸適當之處置程序或法律行動處理。
修訂
本政策應至少每年評估 1次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。