1. 緣起

為確保中國文化大學（以下簡稱本校）所屬資訊資產之機密性、完整性及可用性，並符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，爰依據國際標準、資訊安全管理、個人資料保護與智慧財產法令法規，並衡酌本校之業務需求，訂定資訊安全政策。。

2. 目標

為確保本校相關資料、資訊系統、設備及網路安全，同仁應於現有預算經費及人力資源下，共同達成資訊資產之機密性、完整性與可用性之資訊安全管理目標，以符合資訊安全管理制度有效性之量測。

3.1 本政策適用範圍包括本校之員工、工讀生及委外服務廠商。

3.2 資訊安全管理範疇涵蓋4大控制主題，93項控制措施並依屬性概念加以對應，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本單位造成各種可能之風險及危害。各控制主題分述如下：

3.2.1 組織控制。

3.2.2 人員控制。

3.2.3 實體控制。

3.2.4 技術控制。

4.1 本校應成立資訊安全組織，統籌資訊安全事項之推動與管理。

4.2 管理階層應積極參與及承諾持續改善資訊安全管理制度及相關活動，提供對資訊安全之支持。

4.3 管理階層須對本政策及相關規範負督導執行之責。

4.4 本校之員工、工讀生及委外服務廠商，應遵守本政策及相關規範，並恪盡保護本處資訊資產安全之責。

4.5 本校之員工、工讀生及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或資訊安全弱點。

4.6 任何危及資訊安全之行為，將視情節輕重依本校之相關規定進行議處或追究其行政、民事及刑事責任。

本政策應每年定期審查，遇組織、業務、法令或環境等因素之更迭，予以適當修訂，經資訊長核定後公告施行，以確保資訊安全管理制度運作之有效性。