資通安全政策

壹、目的
財團法人鞋類暨運動休閒科技研發中心（以下簡稱本中心）為使業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循。

貳、資訊資產定義
指電腦軟體、硬體、網路通訊設施、資料庫、文件、技術、服務等有形或無形的資產。

參、適用範圍
• 本中心員工、接觸本中心業務資料之外部機關人員、委外服務提供廠商人員及訪客。
• 避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本中心帶來各種可能之風險及危害。資通安全管理應涵蓋14項管理事項：
  • 資通安全政策。
  • 資通安全組織。
  • 人力資源安全管理。
  • 資通資產管理。
  • 存取控制管理。
  • 資通加密管理。
  • 實體與環境安全管理。
  • 系統作業管理。
  • 通訊安全管理。
  • 通系統取得、開發及維護。
  • 供應關係管理。
  • 資通安全事件管理。
  • 營運持續管理。
  • 遵循性。

肆、內容
• 應建立資通安全風險管理機制，定期因應內外在資通安全情勢變化，檢討資通安全風險管理之有效性。
• 應保護機敏資訊及資通系統之機密性與完整性，避免未經授權的存取與竄改。
• 應強固核心資通系統之韌性，確保本中心業務持續營運。
• 應因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本中心同仁之資通安全意識，本中心同仁亦應確實參與訓練。

伍、審查管理

為確保「資通安全系統」實務運作之可用性、安全性及有效性。本政策及目標應每年依業務變動、技術發展及風險評鑑的結果或配合政府資訊安全管理要求、法令、技術及最新業務發展現況至少評估或修訂審查一次。

陸、施行

本政策由中心核定後，依據「文件及資安記錄管理規定」公告或傳達給本中心各單位人員與相關外部單位實施，修訂時亦同。