一、目的
臺南市政府衛生局(以下簡稱本局),為促使本局資訊安全管理制度各項控制措施能落實執行,並有效運作、監控、持續運作等機制,維護本局重要資訊系統的機密性、完整性與可用性,特頒佈本資訊安全政策,以使全體員工於日常作業有明確之資訊安全規範,從而保障本局全體人員之權益,俾達成使本局永續營運之目標。
「強化資安訓練,提升資安認知」;
「落實資訊安全,確保持續營運」;
二、適用範圍
1.本局及所屬單位資訊安全管理制度所涵蓋範圍內皆適用之。
2.資訊安全管理涵蓋組織、人員、實體、技術之四大層面進行管理及控制措施事項,避免因不當管理、人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本局帶來各種可能之風險及危害。
三、本局資通安全政策願景:
1.落實資通安全管理政策。
2.全面導入資訊安全管理制度。
3.培訓資訊人力資通安全專業能力。
4.強化資通安全環境及資訊安全應變能力。
5.達成資訊安全管理政策量測指標。
四、 本局資通安全目標:
1.建立資訊安全事件管理程序,以妥善應變、控制與處理,
並訂定營運持續計畫及定期演練,確保資訊業務持續運作。
2.保護本局核心資訊業務之資訊資產,避免未經授權之存取及修改,確保其機密性、完整性與可用性。
3.辦理資通安全教育訓練,推廣人員資通安全之意識與強化其對相關責任之認知。
4.本局各項資訊業務之執行應依循政府相關法令或法規之要求。
5.遵循個人資料保護相關法令管理程序,以保障個人資料隱私之安全與財產權益。
6.維持資訊安全管理制度之有效性,確保實體環境之安全與資安防護管理機制。
五、資訊安全管理責任
1.管理階層應積極參與資訊安全管理制度活動,提供對資訊安全管理制度之支持,
並展現對其持續改善之領導與承諾。
2.本局全體人員、委外服務廠商與訪客等皆應遵守本政策。
3.任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本府之相關規定進行議處。
六、資訊安全政策審查與實施
1.本政策應至少每年審查1次,以反映法令法規、技術、組織及業務等最新發展現況。
2.本政策經資訊安全管理委員會審查通過,由資訊安全長核定後公告實施,修正時亦同。