SECURITY POLICY

資訊安全政策

目的

為確保國立公共資訊圖書館所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本館之業務需求，訂定本政策。

政策內容

確保本館「電腦機房」設備及網路安全，以避免當發生人為疏失、蓄意破壞或自然災害時，遭致資產不當使用、洩漏、竄改、毀損、遺失等情事，影響本館作業或損及民眾權益。

適用範圍

本政策適用驗證範圍人員、委外服務廠商與訪客等。
資訊安全管理範疇涵蓋14項領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本館造成各種可能之風險及危害，各領域分述如下：
- 資訊安全政策。
- 資訊安全組織。
- 人力資源安全。
- 資產管理。
- 存取控制。
- 密碼學(加密控制)。
- 實體與環境安全。
- 運作安全。
- 通訊安全。
- 資訊系統取得、開發及維護。
- 供應者關係。
- 資訊安全事故管理。
- 營運持續管理之資訊安全層面。
- 遵循性。

目標

為維護驗證範圍資訊資產之機密性、完整性與可用性，並保障使用者資料隱私之安全。期藉由全體同仁共同努力以達成下列目標：

每年無發生密級以上資料外洩。
每年無發生資料遭竄改。
確保關鍵業務系統及資訊機房維運服務達全年96%以上之可用性，並確保：
- 因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事，每年不得超過6次。
- 因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事，每次最長不得超過8小時。

責任與宣導

應成立資訊安全組織統籌資訊安全事項推動。
管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。
驗證範圍內全體人員、委外服務廠商與訪客等皆應遵守本政策。
驗證範圍內全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。
任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本館之相關規定進行議處。
本政策應每年透過教育訓練、內部會議、電子郵件、公告等方式，向館內所有人員進行宣導，並檢視執行成效。
應每年向利害關係人(例如IT服務供應商、與本館連線作業有關單位)進行資安政策及目標宣導，並檢視執行成效。

審查

確保「資訊安全管理系統」實務運作之可用性、安全性及有效性。本政策與利害相關方要求事項等相關議題，每年依業務變動、技術發展及風險評鑑的結果或配合政府資訊安全管理要求、法令、技術及最新業務發展現況至少評估或修訂一次。

實施

本政策經本館「資訊安全委員會」核定後實施，修訂時亦同。

國立公共資訊圖書館版權所有 © 2025 All Rights Reserved.

資訊安全政策隱私權保護政策