資通安全管理

壹、目的

本政策訂定之目的在於確保臺北醫學大學（以下簡稱本校）所屬資訊資產之機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。

貳、適用範圍 

本校依實際需要及符合政府與相關法令要求建立資訊安全管理系統。為確保資訊之機密性、完整性、及可用性，本校資訊安全系統適用範圍設定為本校員工、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客，以充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。 本校於建置資訊安全管理系統之初衷及系統執行之結果，均應將內外部單位對資訊安全方面之議題，及關注方對資訊安全管理系統之期盼與要求納入考量，並列入目標與成效評估範圍。這些資訊安全相關議題、期盼或要求，應列入風險評估及風險管理，以確保資 訊安全管理系統能達成預期效果及持續改善。

本校於風險評鑑過程中必須要能識別風險擁有者。 本校應於相關部門及層級建立資訊安全目標，並可與資訊安全政策對應或連結，且必須(1)可以量測 (2)成效量測方式 (3)需訂定完成日期 (4)需有負責人員(權責單位)。 

資訊安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校帶來各種可能之風險及危害。

管理事項如下： 

        1.資訊安全政策訂定與評估。 

        2.資訊安全組織之職責與分工。 

        3.人力資源安全管理與教育訓練。 

        4.資訊資產分類與管制。 

        5.存取控制安全。 

        6.密碼控制及金鑰管理。 

        7.實體與環境安全。 

        8.作業安全。 

        9.通訊安全。 

        10.資訊系統獲得、開發及維護。 

        11.供應商關係。 

        12.資訊安全事故管理。 

        13.營運持續管理之資訊安全層面。 

        14.相關法規與本校政策之符合性。

參、定義 

        1、資訊資產：係指為維持本校資訊業務正常運作之硬體、軟體、服務、文件及人員。 

        2、業務持續運作之資訊環境：係指為維持本校各項業務正常運作所需之電腦作業環境。

肆、目標

維護本校資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。

藉由全體同仁共同努力來達成下列目標：

        1.保護本校業務活動資訊，避免未經授權的存取。

        2.保護本校業務活動資訊，避免未經授權的修改，確保其正確完整。

        3.建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本校具備可供業務持續運作之資訊環境。 

        4.辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。

        5.執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。 

        6.實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。 

        7.本校之業務活動執行須符合相關法令或法規之要求。

伍、責任 

本校之管理階層建立及審查本政策。 資訊安全管理者應透過適當之標準和程序以實施本政策。本校所有人員及委外服務廠商均須依照相關安全管理辦法以維護資訊安全政策。 本校所有人員有義務報告資訊安全事件和任何已鑑別出之弱點。 有任何危及資訊安全之行為者，應依法負擔民事、刑事及行政責任，並依本校相關規定進行懲處。

陸、審查

本政策應至少每年審查乙次，以配合相關法令、技術及業務之發展，並確保本校永續運作及提供學術網路服務之能力。

98年8月13日行政會議新定通過

102年10月23日校務會議修正通過

104年09月30日校務會議修正通過

113年05月29日校務會議修正通過

第一條（目的）

本校為落實資通安全管理，促進本校資訊安全管理制度執行之有效性，期使該制度達成既定之目標，以增進業務永續運作之安全，特依「教育部校園網路使用規範」第二點規定設置「臺北醫學大學資訊安全委員會」（以下簡稱本會），並訂定「臺北醫學大學資訊安全委員會設置辦法」（以下簡稱本辦法）。

第二條（任務）

本會任務如下：

1、訂定本校各相關部門之資訊安全角色與管理權責分工，包含資訊安全相關政策、計畫、目標、措施、規範、安全技術研究、建置、評估，乃至使用管理、保護、資訊機密維護、稽核、個人資料保護及其他資訊安全事宜。

2、負責協調資訊安全管理制度執行所需之相關資源分配。各單位應指定一人作為資安窗口，協助執行本會之決議。

第三條（委員之設置及任期）

本會置委員三十七人至四十七人，組成方式如下：

1、置主任委員一人，由資訊安全長擔任。資訊安全長由校長指定副校長一人擔任，為資訊安全管理系統之管理代表，綜理本校資訊安全管理業務。

2、置副主任委員一人，由主任秘書擔任，協助主任委員辦理相關業務。

3、置執行長一人，由資訊長擔任或由資訊安全長指派專人擔任，承主任委員之命，負責執行本會相關業務。

4、其餘委員由各單位一級主管、資訊處各級主管、學生會會長及學代議會議長擔任。

本會委員任期二年，連聘得連任。

第四條（工作小組之設置）

本會設資訊安全、緊急處理、資訊安全稽核及個資保護小組，執行本會決議，各小組之工作成果應向本會報告。

本會事務性工作由資訊處兼辦。

第五條（會議召開）

本會每學期至少召開一次，由主任委員擔任召集人及會議主席，必要時得召開臨時會議。

第六條（決議方法）

本會應有全體委員二分之一以上出席，始得開會；決議事項應經出席委員二分之一以上同意，始得決議。

第七條（未盡事宜）

本辦法未盡事宜，應依本校相關規定及政府相關法令辦理。

第八條（核決權限）

本辦法經校務會議通過後公告施行；修正時亦同。

108年1月1日開始實施的「資通安全管理法」及相關子法「資通安全管理法施行細則」，規範機關必須執行的資安管理作為

⭐檢核指標基本分、加分說明、佐證呈現建議(HTML)

⭐檢核指標基本分、加分說明(PDF)