友善列印 logo 轉寄分享 logo Facebook logo google plus logo Line logo

 網站安全政策(資安政策)

交通部高速鐵路工程局資訊安全管理政策

1.前言

交通部高速鐵路工程局(以下簡稱本局)目前的運作環境中,資訊科技扮演非常重要的角色,舉凡生產力的提昇、快速服務的提供、管理能力的加強以及低運作成本都是拜運用資訊科技之賜,由此可見資訊資源是本局很重要的資產需要加以保護。

為維持本局正常運作,資訊系統持續運轉不中斷是絕對必要的。由於網際網路的普及,使得本局的資訊環境輕易地與外界接軌,提昇我們與外界連繫的速度與便利性;也因此帶來新的管理課題、挑戰與責任,諸如資訊由遠端存取、在本局內部處理或是由辧公室自動化軟體產生的均有不同層次的潛在威脅,需要受到保護,以免於天災及人禍,殃及本局運作。故資訊安全機制的建置與施行,以確保消除威脅產生的風險與降低其影響是當務之急。

資訊安全是著重於確保資訊持續使用無礙,而保護資訊與資訊系統是建置資訊安控系統的原動力。而一有效的安控機制需具備(1)管理階層的承諾 (2)全體員工的持續參與(3各種規範的支援。其中資訊安全政策的訂定與施行是首要之務,它訂定下列各要項:(1)使用資訊與資訊系統的規範,以確保使用者安全地、有組織及公平地使用資訊與資訊系統。(2)處理問題的規範與原則以預防損失。(3)實施資訊安全活動,以預防資訊安全風險。藉此政策教育相關人員,讓他們瞭解資訊資產的機密性、完整性與可用性及其保護的方法,期能有效地配合政策之施行。此政策內容包括目的、目標、聲明、適用範圍、任務編組、實施方式與實施原則等。

2.資訊安全目標

2.1本局資訊安全目標為:

2.1.1確保資訊設施/設備安全,以維持資訊系統持續運作。

2.1.2提昇本局同仁資訊安全知識,並落實資安行為。

2.1.3建立與維持完整可依循之資訊安全規範。

2.1.4確保資訊在安全控制下,正常地傳輸與存取。

2.2.要確切落實資訊安全目標,須達到下列三點:

2.2.1機密性(Confidentiality):合法取閱資訊。

任何資訊儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要維持其機密性,以防在資訊傳輸途中被不當竊取。

2.2.1.1由遠端存取本局資訊必須要有防範機制,以防在資訊傳輸途中被不當竊取。

2.2.1.2本局內部資訊系統中,機密的資訊(包括電子檔或紙本)亦要有適當的保護,以防非法存取。

2.2.1.3稽核紀錄保有重要活動的詳細資料亦要妥善保護,僅授權予適當人員存取。

2.2.2完整性(Integrity):資訊或系統維持正確與完整。

任何資料儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要保護,以防不當竄改及資訊系統在運作中被不當的操縱或入侵。

2.2.2.1由遠端存取本局資訊必須要有防範機制,以防在資訊傳輸途中被不當竄改。

2.2.2.2本局內部資訊系統中,機密的資訊亦要有適當的保護,以防非法存取。

2.2.2.3資訊系統的存取權限、威脅與脆弱點要加以控管以維持其完整性。

2.2.3可用性(Availability):資訊或系統需要時即可取用。

確保資訊與系統持續運轉無誤,當合法使用者要求使用資訊系統時,例如:收/送電子郵件、辧公室自動化應用系統、遠端存取資訊等,使用者均可在適當的時間內獲得回應,並完成服務需求,此可用性需與前二項機密性與完整性配合一起考慮,以符合既定的目標。例如線上資訊加密或記錄稽查資料會影響系統回覆時間或引來阻斷式服務而造成無法符合可用性。

3.資訊安全政策目的

此政策目的分述如下:

3.1鑑別資訊安全活動的基本評估方法。

3.2確保資源有效地運用於資訊安全活動。

3.3作為本局資訊系統發展使用的長期指導方針。

3.4作為本局資訊安全規定的根本。

3.5作為內部稽核的依據。

4.聲明

以一簡單、容易記憶與符合資訊安全管理目標為原則,訂定本局的資訊安全政策聲明為:

資訊誠可貴,資安價更高

資訊安全,人人有責

保密防駭,現在起;資安防護,我開始

保護自己,尊重他人

5.適用範圍

資訊安全系統管理之範圍包括本局對資訊財產之五大分類「人員」、「軟體」、「硬體」、「資訊」、「服務/基礎設施」,其內容說明如後:

註記:惟申請認證的範圍中,只涉及到資訊室機房內的所有系統/資訊、硬體、軟體、服務/基礎設施以及人員。

5.1人員:

5.1.1適用於以高鐵局全局業務相關人員(含正式人員、約/聘僱人員、臨時人員、委外廠商之服務人員)。

5.1.2以驗證範圍高鐵局資訊室機房:資訊主管、資訊機房管理人、資訊機房操作員、系統管理員、資訊網路管理員、系統操作員、應用系統負責人、資料庫管理員、資料庫操作員、套裝軟體管理員、文件管理員等。

5.2軟體:

5.2.1作業系統、應用軟體及程式開發工具等。

5.3硬體:

5.3.1伺服器、個人電腦、印表機、磁帶及其他相關之週邊設備等。

5.4資訊:

5.4.1其呈現形式為電子資料及書面文件,例如:使用者帳號密碼、開放查詢資料、電子報資料、系統開發文件、操作手冊、門禁管制登記表及統計報表等。

5.4.2資訊安全制度之規定:

5.4.2.1包含內容請參考「交通部高速鐵路工程局資訊室資訊安全系統文件清冊」。

5.4.2.2資訊紀錄:系統規劃與設計文件、合約以及教育訓練教材、訓練記錄等等。

5.5服務/基礎設施:

包含:

5.5.1包含機房、機櫃、門禁、保安監控、電力供應、通訊供應、消防、空調設施、環境控制設施/設備等。

6.組織與職責

6.1資訊安全推動組織圖

資訊安全管理系統 (Information Security Management System, ISMS)

6.2職責

7.實施方式

依據ISO27001:2005資訊安全管理系統規範,以『規劃—執行—檢查—行動』模式,建置與維護資訊安全管理制度,執行風險評鑑、實施風險處理計畫、頒行與宣導以及持續監控與審查實施狀況,並採取必要應對措施,以確保制度符合此政策且有效地運作。

8.實施原則

8.1本局資訊安全政策的實施原則,就大原則而言,計有:責任性、認知、管理、全方位、相稱、整合、適時、審查、以及公正等九原則,分述如后:

8.1.1責任性原則(Accountability Principle)

必須清楚地定義與確認資訊安全的責任性(Accountability & Responsibility)。

8.1.2認知原則(Awareness Principle)

相關人員必須能存取適用的資訊與資訊系統相關的安全規章、標準、公約或安控機制,以及瞭解資訊安全相關威脅(Threat)與脆弱點(Vulnerability)。

8.1.3管理原則(Ethics Principle)

資訊使用與資訊系統安全的施行必須合乎工作規範。

8.1.4全方位原則(Multidisciplinary Principle)

有關資訊系統與資訊安全的規章、標準、公約與安控機制,必須涵蓋所有相關單位。

8.1.5相稱原則(Proportionality Principle)

資訊安全的控管機制需與資訊外洩、竄改、阻斷服務式攻擊等所造成的風險相稱。

8.1.6整合原則(Integration Principle)

資訊安全的相關規章、標準、公約與安控機制,彼此是同等重要的,彼此之間要整合,同時要與本局內其他的政策與作業程序配合。

8.1.7適時原則(Timeliness Principle)

各處室均要適時地通力合作,以預防或回應資訊系統與其安全威脅破壞事件。

8.1.8審查原則(Assessment Principle)

要定期查察資訊與資訊系統的風險。

8.1.9公正原則(Equity Principle)

當訂定政策與選取、施工以及實施安控機制時,需要尊重個人的權利與尊嚴。

8.2依上述原則,實施執行可有下列數項:

8.2.1責任性(Accountability):

主管必須有資訊服務的所有步驟紀錄,以確保同仁們能對自己行為負責。紀錄內容包括新增、修改、複製、刪除以及其他相關資訊。另外對所有重大事件要能加註每種使用層級之個人的責任義務、日期與時間。

8.2.2訓練與認知(Education and Awareness):

主管必須與相關人員溝通此政策,以確保全局同仁均有相當認知,而教育訓練的內容可包括標準、基準點、作業程序、指導方針、責任與義務、相關的施行衡量標準與失敗的後果。

8.2.3資訊管理(Information Management)

主管需經常對資訊分類、評價、設定敏感度與重要性之等級,並要對此類資訊定位與賦予責任。

8.2.4環境管理(Environment Management)

主管需針對儲存、傳送與運用資訊與資訊資產的實體環境加裝設備以防制其遭受到的內/外部風險。

8.2.5技能審查(Personnel Qualifications)

為了有效實施資訊資產與其相關資訊系統的安控機制,主管必須建立與驗證相關人員之人格特質以及技術能力。

8.2.6系統完整性(System Integrity)

主管確定提供本局業務所需的各種系統與應用系統均已建置、保存與受到保護。

8.2.7資訊系統生命週期(Information Systems Life Cycle)

主管須確保系統生命週期各個階段都列入安控範圍內。

8.2.8存取控管(Access Control)

主管需建置適當的控管機制,以平衡存取資訊資產與其相關資訊系統所應對的風險。

8.2.9業務持續運作與備份計劃(Operational Continuity and Contingency Planning)

主管需做規劃讓相關資訊系統可以支援本局業務持續運作的需求。

8.2.10資訊風險管理(Information Risk Management)

主管需確保資訊安控機制與相關資產的價值及其可能遭受到的威脅/脆弱點平衡。

8.2.11資訊設施之安全性(Network and Infrastructure Security)

當建置網路安控機制時,要考慮已使用的全球性基礎設施的衝擊。

8.2.12資訊安全在法律、規則與契約上的需求(Legal , Regulatory, and Contractual Requirements of Information Security)

主管必須逐步認知與提出關於資訊資產在法律規章與契約上的需求。

8.2.13公正的履行(Ethical Practices)

當主管在訂定政策及選取、執行與實施安控機制時都要尊重個人的權利與尊嚴。

9.名詞定義

9.1資料(Data)

適用於人們或系統溝通、說明或處理事情、觀念或指示的正式表達方式。例如績效數字(未經分析過的)、專案實際執行狀況報告等。

9.2資訊(Information)

依需要而賦予資料的意義或經過整理分析彙總的資料,有多種呈現方式,可以印刷品、手寫稿或電子方式儲存;可以郵件、電子郵件、影片播放或口語傳播。如合約、設計文件、訓練教材、典章制度等,其為機關的重要資產。

9.3資訊系統(Information System)

儲存、處理、擷取或傳送資料與資訊的設施,包括電腦、通訊設備、電腦與網路設備,以及運作、使用與維護這些設施的程式、規格與作業程序。

9.4安全(Security)

即保障機關免於"不可接受的風險"的所有功能與機制,而風險是指遭受資產被竊、系統無法使用或機密資訊外洩等,若上述事件發生均會造成機關巨額損失,是機關無法承受的。

9.5資訊安全(Information Security)

意即保障資訊資產免於"不可接受的風險",讓機關確保持續運作、降低損失、提高投資效益的所有功能與機制。舉凡與資訊相關的人、事、物均是資訊安全涵蓋的領域,如電腦設備、使用/操作系統的人員、作業流程均包含在內。

資訊安全具有下列特性:

9.5.1機密性(Confidentiality):確保只有獲得授權者才可存取資訊,即資訊在傳輸途中不會被人不當的窺探或在定點儲存區或處理中有權限者才可看到。

9.5.2完整性(Integrity):確保資訊及系統未遭到惡意的竄改或變更,此即包含資訊與系統的完全性與正確性,資料存在形式包括在傳輸送中、儲存區或處理中。

9.5.3可用性(Availability):確保獲得授權的使用者有需要可以取得資訊系統。

9.6阻斷服務(Denial of Service)

妨礙授權者存取資訊系統或延遲時間緊迫的操作。

9.7威脅(Threat)

在任何狀況下或任何事件,有潛在的機會經由非法存取、破壞、洩密、竄改資料或阻斷服務(Denial of Service)式攻擊,而造成系統傷害者稱之。

威脅來源有二:

9.7.1人為因素,如非法竊聽、使用與駭客行為等

9.7.2天然災害事件,如水災、地震、颶風等

9.8脆弱性(Vblockquote nerability)

是系統的弱點,而此弱點是指在系統安全開發之各階段:需求、設計、建置與運轉,被利用會造成違反資訊安全政策的結果,例如:

9.8.1網路環境任何進入點、伺服器、Active X或Java Applet

9.8.2任何安全保護措施,如門禁系統、帳號密碼等

9.9風險評鑑(Risk Assessment)

是釐清資訊與資訊系統所可能遭遇到的威脅與脆弱性發生的可能性、分析相關的衝擊(Impacts)以及決定風險等級的程序。是風險管理(Risk Management)的一部份。

9.10風險管理(Risk Management)

是一持續進行的程序,經由分析威脅、脆弱性與對業務的衝擊影響,進而選取合適且具成本/效益的控制點,以減輕本局資訊資產的風險,以達到維持可承受的風險等級。

9.11資訊安全管理系統(Information Security Management System,ISMS)

資訊安全管理系統針對組織內所使用的資訊資產,實施全面性的管理,以確保資訊資產的機密性、完整性與可用性。