:::

資訊安全宣告

政策緣由

為遵循相關法令並保護移民署(以下簡稱本署)資產之安全(資產包括資訊、軟體、硬體、技術服務、人員等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,同時導入本署資訊安全管理系統(ISMS),特制訂本署資訊安全政策,確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求以做為遵循依據。


依據

本署資訊安全政策(以下簡稱本政策)係依據本署之任務目標及資訊安全管理標準ISO 27001CNS 27001驗證之精神及要求、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「個人資料保護法及施行細則」等相關法令與規定而訂定。


政策說明

  1. 資訊安全本質
    資訊安全之本質大致歸為以下3類 :
    1. 可用性-Availability
      獲得授權的個體(Entity)要求時可以存取並使用的特性。
    2. 完整性-Integrity
      將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
    3. 機密性- Confidentiality
      資訊不被未經授權的個人、實體或過程取得或揭露的特性。
    本署資訊安全即為確保本署資產之機密性、完整性與可用性。
  2. 政策目的與說明
    為達成本署之任務目標及最高管理階層對資訊安全之期許與要求,確保本署資產之安全,本署之資訊安全政策訂為:
    1. 確保移民署相關業務資訊之機密性,防止本署敏與民眾個人資料外洩與遺失。
    2. 確保移民署相關業務資訊之完整性與可用性,以遂行本署各項業務。
    3. 本政策係依據組織發展需要與考量資訊資產風險,透過系統化之風險評鑑方法,以鑑別資產之風險,並依評鑑結果進行風險之處理與管理,同時建立各項規劃、操作與控制資訊安全過程之書面程序,藉以建立一個完整、可行、有效之資訊安全管理系統(ISMS),以提供本署資訊安全之最佳保障。本資訊政策每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
  3. 目標
    1. 確保移民資訊系統之服務達到全年99.93%以上之可用性(每年系統服務中斷不超過6小時)。
    2. 確保重大資安事件全年不多於1件。
    3. 確保相關資訊安全措施或規範符合政策與現行法令之要求,每年至少進行1 次查核。
    4. 維護、測試業務永續經營計畫之可行性,每年至少進行1次測試。
    5. 建立資產風險評估作業,每年至少進行1次風險評估。
    6. 確保資訊安全教育訓練每年完成主官至少4小時、主管至少6小時、技術人員至少18小時、一般人員至少4小時。

    本網站主機均設有防火牆、防毒系統等相關的各項資訊安全設備及必要的安全防護措施,加以保護網站及您的個人資料採用嚴格的保護措施,只由經過授權的人員才能接觸您的個人資料,相關處理人員皆簽有保密合約,如有違反保密義務者,將會受到相關的法律處分。

    如因業務需要有必要委託本網站相關單位提供服務時,本網站亦會嚴格要求其遵守保密義務,並且採取必要檢查程序以確定其將確實遵守。


適用範圍

資訊安全管理系統的適用範圍為本署資訊記錄、電腦系統與相關資訊設備、實體運作環境(機房內部)、所屬之人員及相關作業流程,說明如下:

  1. 資訊記錄
    本署移民資訊系統之資料庫、資料檔、系統規劃與設計文件、使用與操作手冊、契約、教育訓練教材、制度建立以及相關的工作協議書等。
  2. 電腦系統
    本署相關電腦作業系統、應用系統、開發工具、套裝軟體、公用程式等。
  3. 人員
    內部人員:應用系統開發與維護人員、系統管理人員、資訊與設備擁有者及保管人、資訊文件製作人員以及一般使用者,包括正式人員與非正式人員(含替代役男)。外部人員:其他公務機關、承包商與訪客。
  4. 實體<br /> 辦公室、機房:本署辦公區與設備管制機房。
  5. 硬體設備
    1. 電腦:伺服器、可攜式電腦與個人電腦..等。
    2. 通訊設備:集線器、路由器、網路交換機、傳輸線路、數據機與傳真機..等。
    3. 儲存媒體:抽取式硬碟、磁帶機、磁帶、磁碟片、光碟片、PKI 卡與識別證感應卡..等。
    4. 其他:不斷電系統、印表機、影印機、掃瞄器、燒錄機、空調設備與門禁設備..等。


責任劃分

為使資訊安全管理系統有效運行,本署各單位之權責劃分如下:

  1. 為確保資訊安全措施取得管理階層之實際支持,本署高階主管 (署長、副署長與主任秘書 ) 應宣示落實資訊安全之決心,並責成相關單位與人員成立資訊安全推行暨處理小組,以配置資訊安全責任與進行有效之資源管理。
  2. 資訊安全推行暨處理小組之成員,應積極參與資訊安全管理系統(ISMS)之各項活動,小組之召集人與副召集人應充分對資訊安全管理系統(ISMS)支持與承諾,並確保本政策符合本署任務與高階主管之要求。
  3. 資訊安全推行暨處理小組之召集人亦為本署資訊安全代表,召集人因故無法參與各項資訊安全活動時由代理人代理之。
  4. 本署各單位應透過適當程序落實本政策之要求。
  5. 所有人員、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
  6. 所有人員皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。


其他規定

  1. 本署所有人員違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
  2. 本署所有人員應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許禁止做任何其他未經授權之使用。
  3. 外部人員違反本署資通安全政策者,應依合約條款或發函告知所屬單位,訴諸適當之處置程序或法律行動處理。


修訂

  1. 本署所有人員違反本政策,或發生其他任何危及本署資訊安全之行為,都將訴諸適當之處置程序或法律行動。
  2. 本署所有人員應瞭解於工作期間所有取得之資訊皆為本署之資產,未經允許禁止做任何其他未經授權之使用。
  3. 外部人員違反本署資通安全政策者,應依合約條款或發函告知所屬單位,訴諸適當之處置程序或法律行動處理。