選民服務數位資訊平台資訊安全政策

1 (訂定目的)

選民服務數位資訊平台(以下簡稱選民服務系統)為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,爰衡酌選民服務系統之業務需求,訂定本政策。

2 (適用對象)

選民服務系統全體人員、與選民服務系統有業務往來之廠商、訪客等,皆應遵守本政策。

3 (資訊安全目標)

選民服務系統之資訊安全目標如下:

一、 確保選民服務系統資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。

二、 確保選民服務系統資訊作業管理之完整,避免未經授權之修改。

三、 確保選民服務系統資訊作業之持續運作。

四、 確保選民服務系統資訊作業均符合相關法令規定要求。

4 (資訊安全控制措施)

選民服務系統之資訊安全控制措施如下:

一、 成立資訊安全管理組織,督導資訊安全管理制度之運作。

二、 管理階層應承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。

三、 資訊安全管理制度文件應適時更新,紀錄之保護應有明確管理機制。

四、 定期進行資訊資產分類與風險評鑑。

五、 選民服務系統全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。

六、 工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。

七、 對於與選民服務系統有業務往來之廠商、訪客有存取選民服務系統資訊資產之需求時,應進行必要之審核及參與資訊安全教育訓練。 該等人員並負有保護其所擁有、保管或使用選民服務系統資訊資產之責任。

八、 依業務需求訂定資訊作業持續運作計畫,並定期測試演練。

九、 定期檢測資訊安全指標,以維持資訊安全管理制度及管控程序實施之有效性。

十、 確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。

十一、 落實通訊安全管理。

十二、 資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。

十三、 本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事,並依程序進行通報。

十四、 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。

 5 (年度審查)

 本政策每年至少審查一次,以符合相關法令規定及資訊業務最新發展現況,並於必要時修正之。