壹、目的

為維護長庚學校財團法人長庚科技大學（以下簡稱本校）資訊服務及其核心業務相關資訊資產（資訊資產包括資料、系統、設備等）之安全，防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，確保本校資訊處理作業能安全有效地運作，特制訂資訊安全政策（以下簡稱本政策）以為遵循。

貳、適用範圍

本政策適用於本校所有人員、維護廠商、業務往來者及使用本校提供服務之使用者，只要涉及任何資訊安全管理系統所涵蓋的範圍，都有責任來實施或配合本政策。

參、政策聲明

『健全資安管理制度，提昇資訊服務效率』。

肆、目標

一、建置資通安全管理機制，落實個人隱私保護要求
二、 完善資訊安全管理制度，建立業務持續運作環境
三、保護本校業務活動資訊，避免未經授權存取事件
四、辦理資訊安全教育訓練，強化員工資訊安全意識
五、建立良好緊急應變機制，落實災害迅速復原目標
六、各項資安業務執行過程，均應符合法律法規要求
七、防止不當使用資訊設備，避免人為疏失意外發生
八、維持資訊系統正常運作，降低服務意外中斷機率

伍、名詞定義

一、資訊安全（Information Security））

保存資訊之機密性、完整性及可用性；亦可能包含諸如真確性、可歸責性、不可否認性及可靠性等其他性質。

二、機密性（Confidentiality）

使資訊不提供或不揭露予未獲授權之個人、個體或過程的性質。

三、完整性（Integrity）

準確度及完成性之性質。

四、可用性（Availability）

一旦獲授權個體提出需求時，即可取得或使用之性質。

陸、權責

一、本校所有同仁、各連線使用單位、簽約廠商及委外廠商都應遵行資訊安全管理系統之安全政策、程序、辦法。

二、本校所有同仁皆負有通報所發現之資通安全事件或資通安全弱點之責任。

三、本校所有同仁執行各項資訊作業時，參照資通安全管理法及子法、個人資料保護法等相關法令規定辦理，並遵守本校各項規範及與第三方簽訂之契約。

四、本校同仁違反資訊安全規定者，依個人資料保護法、著作權法、刑法，應予移送司法機關調查；若有涉及賠償事件者，依相關法律追究損害賠償責任。非本校人員違反資訊安全規定時，亦應依相關法律規定追究民、刑事責任。

柒、要求事項

一、資訊安全組織的成立

本校資訊安全組織負責落實本政策，並推動和督導本校執行資訊安全預防、危機通報、緊急應變處理等工作。

二、資訊安全政策之依據

本政策係參閱資通安全管理法及子法及本校「中長程發展計畫」等資訊安全規定，並參酌其他資訊安全相關國際標準如ISO/IEC 27001等之要求，考量本校業務需求，訂定資訊安全政策及相關標準作業程序，以建立資訊安全機制、強化資訊安全防護，提昇資訊安全之水準。

三、管理階層的意向

高階管理階層應積極參與資訊安全管理系統（ISMS）之相關活動，並適時對ISMS的活動表達承諾及推動的意願。

四、資訊安全政策之修訂

本政策應至少每年評估一次，以符合政府法令之要求，並反映資訊科技發展趨勢，確保本校資訊安全管理作業之有效性。

捌、參考資料

一、資通安全管理法及子法
二、個人資料保護法

玖、相關文件

無