資通安全政策

壹、目的
資通安全政策(本政策)之目的強化衛生福利部雲林教養院（以下簡稱本院）整體資通安全，透過制度控管維持一定的資通服務水準；避免因外在威脅或內部人員不當管理與使用，致資通資產遭受竄改、揭露、竊取、破壞或遺失等風險，將資安事故發生機率及事故所造成之風險降至最低程度，以維本院各項業務正常運作以期能內化為組織文化的一部份。

貳、依據
一、資通安全管理法
二、 CNS 27001:2014資訊安全、網宇安全及隱私保護－資通安全管理系統－要求事項
三、 ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)

參、適用範圍
本政策適用於本院各項資通資產及其資訊使用者（含本院所屬員工、各應用系統建置維護廠商及其他經授權使用資通資產之人員）。

肆、作業單位
本院所屬員工、各應用系統建置維護廠商及其他經授權使用資通資產之人員

伍、處理原則
一、各項安全管理規定必須遵守政府相關法令、法規（如：刑法、專利法、商標法、著作權法、資通安全管理法及個人資料保護法等）之規定。
二、依據本院組織與業務目的，審慎評估資通安全作業需求與目標，並確保本院關鍵性業務持續運作不中斷，並鑑別內部與外部的利害關係人以及參與本院資通安全保護的程度，及辨識工作人員的職責及權責。
三、本院全景除於適用性聲明書中述明外，另根據內、外部利害關係人與資通安全作業前、後環節要求，進行資產盤點、風險評估與管理，有效管理資訊資產面臨之風險，降低風險至可接受範圍。
四、本院高階主管應積極參與資通安全管理活動，提供對資通安全之支持及承諾，並定期召開高階會議以確保資通安全維護之整體持續改善，提供全體員工資安訓練課程，提昇人員資安認知，明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。
五、本院全體員工(含約、聘僱人員及臨時人員) 皆須遵守本院資安事件通報機制，通報所發現之資通安全事件或資通安全弱點，若未遵守本政策或發生任何違反本政策之行為，將依相關規定處理，各部門之資通安全專責人員負責資通安全各項事宜，對各項安全執行情況對有功人員予以獎勵。
六、本院所有往來相關合作單位(含廠商)皆須簽署保密協議書，並遵守本政策以及相關程序之規定，不得未經授權使用或濫用本院各類資訊資產。
七、定期訂定資訊內部稽核計畫，檢視本院資通安全保護之情形，依稽核報告擬定及執行矯正措施。

陸、修訂及公告
本政策內容應定期由資通安全推行委員每年定期或因本院業務、法令或環境等因素之更迭，予以適當修訂，確保本院資通安全實務作業的可行性及有效性。