1. 資訊安全定義:資訊(有形或無形的)是本部的資產,舉凡資訊資產、實體資產、軟體資產、服務資產、文件、人員、機關形象與榮譽等皆是;安全則是利用主動或被動的各種方法,來保護或保存一個環境,使其活動的進行不受干擾。因此資訊安全即為了避免因人為疏失、蓄意或自然災害等風險,運用一整套適當的控制措施,包括政策、實踐、步驟、組織結構和軟體功能等,來確保本部的資產受到妥善的保護。
2. 資訊安全目標:即確保資訊的機密性(只有經過授權的人才能存取資訊)、完整性(保證資訊及其處理方法的準確性和完整性)與可用性(確保經過授權的用戶在需要時可以存取資訊並使用相關資訊資產),保護本部資訊資產免遭不當使用、洩漏、竄改、破壞等情事,確保資訊蒐集、處理、傳送、儲存及流通之安全。
3. 資訊安全範圍:涵蓋電腦技術面與人員管理面的相關範圍。
‧組織資訊安全推行小組,負責推動本部資訊安全工作。
‧審慎評估人員之任免、職務之分派,對離職、休職、停職或調職之人員,應建立控管及人力備援制度;另定期辦理資訊安全教育訓練及宣導,提升本部資訊安全認知及水準。
‧建立資訊資產的保管制度,有效分配、運用及管理本部資訊資源。
‧考量建築物之防害、防竊設計,重要設施及特殊場所應加強管制。
‧提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。
‧評估資訊資產之安全等級,並賦予相關人員適當存取權限。
‧各項電腦系統之新增或變更作業應建立控管制度並完整予以記錄,以備查考。
‧建立資訊安全事件緊急處理機制與災後重建計畫,並反覆操演、測試。
‧訂定資訊安全稽核制度,就本部電腦主機房、試務工作場所及各項電腦系統安全進行定期或不定期之稽核作業,且嚴禁刪除及修改各項稽核紀錄檔案。