跳到主要內容區塊
:::

資訊安全政策

一、目的 
立法院(以下簡稱本院)為維護整體資訊安全,強化各項資訊資產之安全管理,確保其機密性、完整性、可用性及法律遵循性,以因應業務運作需要,妥善支援立法委員依法行使職權,特訂定本要點。

二、名詞定義 
本要點所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害本院業務運作之損害程度。 本要點所稱資訊資產係本院所收集、產生、運用之資料,以及為完成以上工作所需使用之相關設備。

三、適用範圍 
本要點適用於本院各項資訊資產及其資訊使用者。

四、遵循性/法令依據 
本要點及依據本要點所訂定之各項附屬規定(以下簡稱資訊安全管理制度),係參考個人資料保護法、著作權法、國家機密保護法、電子簽章法等法規及其他相關標準所訂定,資訊使用者應確實遵守,如有違反者,依相關法令辦理。

五、資訊安全組織 
為落實本院資訊安全管理,於資訊治理會報下設資訊管理制度稽核小組及資訊安全工作小組,負責統籌資訊安全稽核、各項作業原則規劃、權責機關與特殊利害相關團體聯繫及專案管理之資訊安全等事宜。

六、人力資源安全 
為降低內部人為因素對本院資訊安全之影響,各單位應考量人力及工作職掌,實行分工及輪調措施。
本院應視需要實施資訊安全教育訓練及宣導,以提高人員對資訊安全之認知。

七、資訊資產管理安全 
為保護本院資訊資產安全,應建立資訊資產清冊加以分類分級,並訂定相對應之管制措施。

八、存取控制安全 
為避免本院資訊資產因未授權之存取而使機密性或敏感性資料遭不當使用,應考量人員職務授予相關權限。 
為確保本院遠距工作的使用安全,應對遠距工作存取訂定相對應之管制措施。

九、密碼學/憑證安全 
為使本院憑證申請及應用有所依據,應訂定憑證政策、憑證實務作業基準,並定期進行評估及修訂,以保護資訊的機密性、鑑別性及完整性,必要時得採行加解密及身分鑑別機制,以加強資料之安全。

十、實體及環境安全 
為確保本院電腦機房維運及資訊資產使用區域之安全,應訂定實體與環境安全管理規範。 
為確保本院行動裝置及可攜式儲存媒體的使用安全,應建立行動裝置與可攜式儲存媒體管理原則。

十一、運作安全 
為確保本院主機作業平台、資料庫與資訊處理設施被正確及安全操作,受到防範惡意碼的保護、防護資料損失及竄改、紀錄事件及產生相關證據、保護作業系統的完整並防止技術脆弱性被利用,應訂定運作安全管理規範。

十二、通訊安全 
為確保本院網路及其支援資訊處理設施上資訊之保護,並維護內部及外部單位資訊傳送之安全,應訂定通訊安全管理規範。

十三、系統獲取、開發及維護安全 
為確保本院應用系統生命週期的資訊安全控管,分析、設計、開發、測試、上線及維護各階段之資訊安全,應訂定系統獲取、開發及維護安全管理標準作業原則。

十四、供應者關係安全 
為確保供應者可存取的本院資訊資產受到保護,並維持資訊安全及服務交付與供應者協議一致,應訂定供應者關係安全管理要求。
為提高本院委外作業之安全,應要求廠商簽署保密協議書,並管理專案人員及駐點人員之各項資訊資產存取權限。

十五、資訊安全事件管理 
為確保本院資訊安全事故管理(包括對安全事件及弱點之通報)有一致及有效的作法,應建立資訊安全事故通報及處理程序,並加以記錄。 本院應訂定資訊安全目標,並確保該目標符合本要點之目的要求。

十六、營運持續管理之資訊安全層面 
為避免本院資訊資產遭受災害而影響業務永續運作,確保資訊處理設施的可用性,資訊安全持續性應做為營運持續管理之基礎,且訂定應變及復原計畫,並定期測試演練。

十七、資訊安全稽核管理 
為落實本院資訊安全管理制度,強化資訊安全管理,應建立資訊安全稽核機制,由資訊管理制度稽核小組定期執行稽核。

十八、風險管理 
為有效管理本院各項資訊資產所面臨之威脅、弱點及其衝擊程度,應辦理資訊資產風險評鑑並實行必要之風險管理。

十九、修訂 
本要點應每年檢討,以反映最新標準規範、技術及組織業務現況。 
各項附屬規定由資訊安全工作小組視需要修訂,若內容涉及跨單位權責變動,應向資訊治理會報提出後辦理之。

二十、宣導 
本要點應定期宣導。

二十一、施行 
本要點經院長核定後施行,修正時亦同。