中國文化大學
資訊安全政策
機密等級:公開
為確保中國文化大學(以下簡稱本校)所屬資訊資產之機密性、完整性及可用性,並符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,爰依據國際標準、資訊安全管理、個人資料保護與智慧財產法令法規,並衡酌本校之業務需求,訂定資訊安全政策。。
為確保本校相關資料、資訊系統、設備及網路安全,同仁應於現有預算經費及人力資源下,共同達成資訊資產之機密性、完整性與可用性之資訊安全管理目標,以符合資訊安全管理制度有效性之量測。
3.1 本政策適用範圍包括本校之員工、工讀生及委外服務廠商。
3.2 資訊安全管理範疇涵蓋4大控制主題,93項控制措施並依屬性概念加以對應,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本單位造成各種可能之風險及危害。各控制主題分述如下:
3.2.1 組織控制。
3.2.2 人員控制。
3.2.3 實體控制。
3.2.4 技術控制。
4.1 本校應成立資訊安全組織,統籌資訊安全事項之推動與管理。
4.2 管理階層應積極參與及承諾持續改善資訊安全管理制度及相關活動,提供對資訊安全之支持。
4.3 管理階層須對本政策及相關規範負督導執行之責。
4.4 本校之員工、工讀生及委外服務廠商,應遵守本政策及相關規範,並恪盡保護本處資訊資產安全之責。
4.5 本校之員工、工讀生及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或資訊安全弱點。
4.6 任何危及資訊安全之行為,將視情節輕重依本校之相關規定進行議處或追究其行政、民事及刑事責任。
本政策應每年定期審查,遇組織、業務、法令或環境等因素之更迭,予以適當修訂,經資訊長核定後公告施行,以確保資訊安全管理制度運作之有效性。