資通安全管理

資訊安全政策

壹、目的

本政策訂定之目的在於確保臺北醫學大學（以下簡稱本校）所屬資訊資產之機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。

貳、適用範圍

本校依實際需要及符合政府與相關法令要求建立資訊安全管理系統。為確保資訊之機密性、完整性、及可用性，本校資訊安全系統適用範圍設定為本校員工、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客，以充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。本校於建置資訊安全管理系統之初衷及系統執行之結果，均應將內外部單位對資訊安全方面之議題，及關注方對資訊安全管理系統之期盼與要求納入考量，並列入目標與成效評估範圍。這些資訊安全相關議題、期盼或要求，應列入風險評估及風險管理，以確保資訊安全管理系統能達成預期效果及持續改善。

本校於風險評鑑過程中必須要能識別風險擁有者。本校應於相關部門及層級建立資訊安全目標，並可與資訊安全政策對應或連結，且必須(1)可以量測 (2)成效量測方式 (3)需訂定完成日期 (4)需有負責人員(權責單位)。

資訊安全管理涵蓋15項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校帶來各種可能之風險及危害。

管理事項如下：

1.資訊安全治理。

2.資訊資產管理。

3.資訊保護。

4.人力資源安全。

5.實體安全。

6.系統與網路安全。

7.應用程式安全。

8.安全組態管理。

9.識別與存取管理。

10.威脅與弱點管理。

11.持續性。

12.供應商關係安全。

13.法律與合規。

14.資訊安全事件管理。

　　15.資訊安全確保。

參、目標

維護本校資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。

藉由全體同仁共同努力來達成下列目標：

1.保護本校業務活動資訊，避免未經授權的存取。

2.保護本校業務活動資訊，避免未經授權的修改，確保其正確完整。

3.建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本校具備可供業務持續運作之資訊環境。

4.辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。

5.執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。

6.實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。

7.本校之業務活動執行須符合相關法令或法規之要求。

肆、責任

1.本校之管理階層建立及審查本政策。

2.資訊安全管理者應透過適當之標準和程序以實施本政策。

3.本校所有人員及委外服務廠商均須依照相關安全管理辦法以維護資訊安全政策。

4.本校所有人員有義務報告資訊安全事件和任何已鑑別出之弱點。

5.有任何危及資訊安全之行為者，應依法負擔民事、刑事及行政責任，並依本校相關規定進行懲處。

伍、制訂與實施

依據分析結果及資訊安全管理政策與目標,制訂與維護資訊安全管理制度,以推動與管理資訊安全管理制度之實施,並監控與評估資訊安全管理制度之績效及持續改善資訊安全管理制度。

陸、審查與修訂

本政策及相關規定應每年或發生重大變更時審查,以反映政府法令、技術及業務等最新發展情況,確保本校持續運作與提供學術網路服務之能力。相關內外部相關方如有資訊安全相關回饋事項,應將列入討論議題並據以回應。若有資訊安全管理系統變更需求,應考量需求、範圍、控制措施與適用性,再提報資訊安全管理委員會以進行審查變更。

資安委員會設置辦法

98年8月13日行政會議新定通過

102年10月23日校務會議修正通過

104年09月30日校務會議修正通過

113年05月29日校務會議修正通過

第一條（目的）

本校為落實資通安全管理，促進本校資訊安全管理制度執行之有效性，期使該制度達成既定之目標，以增進業務永續運作之安全，特依「教育部校園網路使用規範」第二點規定設置「臺北醫學大學資訊安全委員會」（以下簡稱本會），並訂定「臺北醫學大學資訊安全委員會設置辦法」（以下簡稱本辦法）。

第二條（任務）

本會任務如下：

1、訂定本校各相關部門之資訊安全角色與管理權責分工，包含資訊安全相關政策、計畫、目標、措施、規範、安全技術研究、建置、評估，乃至使用管理、保護、資訊機密維護、稽核、個人資料保護及其他資訊安全事宜。

2、負責協調資訊安全管理制度執行所需之相關資源分配。各單位應指定一人作為資安窗口，協助執行本會之決議。

第三條（委員之設置及任期）