資訊安全宣告
為遵循相關法令並保護移民署(以下簡稱本署)資產之安全(資產包括資訊、軟體、硬體、技術服務、人員等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,同時導入本署資訊安全管理系統(ISMS),特制訂本署資訊安全政策,確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求以做為遵循依據。
依據
本署資訊安全政策(以下簡稱本政策)係依據本署之任務目標及資訊安全管理標準ISO 27001CNS27001驗證之精神及要求、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「個人資料保護法及施行細則」等相關法令與規定而訂定。
政策說明
1.資訊安全本質 資訊安全之本質大致歸為以下3類 :
(1)可用性-Availability:獲得授權的個體(Entity)要求時可以存取並使用的特性。
(2)完整性-Integrity:將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
(3)機密性- Confidentiality:資訊不被未經授權的個人、實體或過程取得或揭露的特性。 本署資訊安全即為確保本署資產之機密性、完整性與可用性。
2.政策目的與說明 為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資產之安全,本署之資訊安全政策訂為:
(1)確保入出國及移民署相關業務資訊之機密性,防止本署機敏與民眾個人資料外洩與遺失。
(2)確保入出國及移民署相關業務資訊之完整性與可用性,以遂行本署各項業務。
(3)本政策係依據組織發展需要與考量資訊資產風險,透過系統化之風險評鑑方法,以鑑別資產之風險,並依評鑑結果進行風險之處理與管理,同 時建立各項規劃、操作與控制資訊安全過程之書面程序,藉以建立一個完整、可行、有效之資訊安全管理系統(ISMS),以提供本署資訊安全之最佳保障。本資 訊政策每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
3.目標
(1)防止駭客入侵:全年被成功入侵次數應低於1 次。
(2)確保資訊服務提供的持續性:除因必要之停機維護及中華電信無預警斷線外,全年入出國及移民查驗服務達到全年99.98%以上之可用性(每年系統服務中斷不超過6 次,每次時間不超過20 分鐘)。
(3)符合法令與合約要求:確保重大資安事件全年不多於1 件(不含外館)。
(4)確保資訊安全管理系統之有效性:每年實施資訊資產風險評鑑作業至少3 次、每年實施內部稽核作業至少2次、每年召開資訊安全管理審查會議至少2 次。
(5)防範系統漏洞及彌補系統缺陷:對外網頁程式過版前皆應完成弱點掃描作業,並每半年執行1 次整體弱點掃描作業。
(6)確保業務永續經營計畫之可行性及單位災害回復能力:每年舉辦災害復原演練至少每季1次。
(7)強化人力資源安全:每年完成辦理主官至少4 小時、主管至少6小時、技術人員至少18 小時、一般人員至少4 小時之資訊安全教育訓練。
適用範圍
資訊安全管理系統的適用範圍為本署資訊記錄、電腦系統與相關資訊設備、實體運作環境(機房內部)、所屬之人 員及相關作業流程,說明如下:
1.資訊記錄 本署入出國及移民資訊系統之資料庫、資料檔、系統規劃與設計文件、使用與操作手冊、契約、教育訓練教材、制度建立以及相關的工作協議書等。
2.電腦系統 本署入出國及移民資訊系統之相關電腦作業系統、應用系統、開發工具、套裝軟體、公用程式等。
3.人員 內部人員:應用系統開發與維護人員、系統管理人員、資訊與設備擁有者及保管人、資訊文件製作人員以及一般使用者,包括正式人員與非正式人員(含替代役男)。外部人員:其他公務機關、承包商與訪客。
4.實體 辦公室、機房:本署辦公區與設備管制機房。
5.硬體設備
(1)電腦:伺服器、可攜式電腦與個人電腦..等。
(2)通訊設備:集線器、路由器、網路交換機、傳輸線路、數據機與傳真機..等。
(3)儲存媒體:抽取式硬碟、磁帶機、磁帶、磁碟片、光碟片、PKI 卡與識別證感應卡..等。
(4)其他:不斷電系統、印表機、影印機、掃瞄器、燒錄機、空調設備與門禁設備..等。
責任劃分
為使資訊安全管理系統有效運行,本署各單位之權責劃分如下:
(1)為確保資訊安全措施取得管理階層之實際支持,本署高階主管 (署長、副署長與主任秘書 )應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全推行暨處理小組,以配置資訊安全責任與進行有效之資源管理。
(2)資訊安全推行暨處理小組之成員,應積極參與資訊安全管理系統(ISMS)之各項活動,小組之召集人與副召集人應充分對資訊安全管理系統(ISMS)支持與承諾,並確保本政策符合本署任務與高階主管之要求。
(3)資訊安全推行暨處理小組之召集人亦為本署資訊安全代表,召集人因故無法參與各項資訊安全活動時由代理人代理之。
(4)本署各單位應透過適當程序落實本政策之要求。
(5)所有人員、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
(6)所有人員皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。
其他規定
(1)本署所有人員違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
(2)本署所有人員應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許禁止做任何其他未經授權之使用。
(3)外部人員違反本署資通安全政策者,應依合約條款或發函告知所屬單位,訴諸適當之處置程序或法律行動處理。 修訂 本政策應至少每年評估 1次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。