一、目的
為增進經濟部國際貿易署(以下簡稱本署)資通訊作業安全及穩定之運作,提供可信賴之資通訊服務,確保資訊資產之機密性、完整性及可用性,並順利推展本署各項業務,以符合資通安全法及其子法之規範,特訂定本署資通安全政策(以下稱本政策)做為本署資通安全管理最高指導方針。
二、範圍
本政策適用於本署(含高雄辦事處)員工、接觸本署業務資訊或提供服務之廠商及第三方人員。
三、資通安全目標
(一)量化型目標
1.對外提供網路申辦服務系統年度可用性達99%以上。
2.對外一般性服務系統年度可用性達98.5%以上。
3.電子郵件社交工程演練之郵件開啟率及附件點閱率分別低於5%及3%。
(二)質化型目標
1.建立資通訊系統持續營運管理計畫,維持核心業務持續營運。
2.重要資訊及個人資料應加強防護,避免外洩或遭竄改。
3.確保資通安全事件迅速通報與處理
4.落實資通安全教育訓練。
四、策略
(一)應考量相關法律規章及營運要求,評估資通訊作業安全需求,建立相關程序,以確保資訊資產之機密性、完整性及可用性。
(二)建立本署資通安全組織並訂定分工權責,俾利推行資通安全作業。
(三)依資通安全責任等級分級辦法之規定執行各項應辦事項。
(四)建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
(五)定期執行資通安全稽核作業,以確保資通安全管理落實執行。
五、實施
本政策簽奉署長核定後實施,每年至少評估一次,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估,以符合相關法令、技術及本署業務等最新發展現況。