資通安全政策

1 目的

為確保國立鳳山高級商工職業學校（以下簡稱本校）所屬之資訊資產的機密性、完整性、可用性及符合相關法規之要求，導入資訊安全管理系統，強化本校資訊安全管理，保護資訊資產免於遭受內、外部蓄意或意外之威脅，維護資料、系統、設備及網路之安全，提供可靠之資訊服務，訂定本政策。

2 依據

2.1資通安全法(及施行細則)

2.2個人資料保護法（及施行細則）

2.3行政院及所屬各機關資訊安全管理要點

2.4教育體系資通安全暨個人資料管理規範

3 適用範圍

本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。

4 政策

4.1建立資通安全風險管理機制，定期因應內外在資通安全情勢變化，檢討資通安全風險管理之有效。

4.2保護機敏資訊及資通系統之機密性與完整性，避免未經授權的存取與竄改。

4.3應強固核心資通系統之韌性，確保機關業務持續營運。

4.4因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本校同仁之資通安全意識，本校同仁亦應確實參與訓練。

4.5針對辦理資通安全業務有功人員應進行獎勵。

4.6勿開啟來路不明或無法明確辨識寄件人之電子郵件。

4.7禁止多人共用單一資通系統帳號。

5目標

5.1量化型目標：

5.1.1 本校核心資通系統已完成向上集中，核心資通系統可用性由上級管理單位訂之。

5.1.2 知悉資安事件發生，能於規定的時間完成通報、應變及復原作業。

5.1.3 電子郵件社交工程演練之郵件開啟率及附件點閱率分別低於5%及2%。

5.1.4 本校人員接受資通安全通識教育訓練三小時以上達100%。(含線上學習之人員)

5.2質化型目標：

5.2.1 適時因應法令與技術之變動，調整資通安全維護之內容，以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。

5.2.2 達成資通安全責任等級分級之要求，並降低遭受資通安全風險之威脅。

5.2.3 提升人員資安防護意識、防止發生中毒或入侵事件。

6 責任

6.1本校應成立資訊安全組織統籌資訊安全事項推動。

6.2管理階層應積極參與及支持資訊安全管理制度，並授資訊安全組織透過適當的標準和程序以實施本政策。

6.3本校全體人員、委外服務廠商與訪客等皆應遵守相關安全管理程序以維護本政策。

6.4本校全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。

6.5任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行議處。

7 審查

本政策應每年至少審查乙次，以反映政府法令、技術及業務等最新發展現況及關注方之關注議題，以確保本校資訊安全管理制度之運作。

8 本政策經資通安全管理審查會議訂定，陳校長核定後實施，修訂時亦同。