105年8月4日林企字第1051710472號函核定
壹、目的
農業部林業及自然保育署及所屬機關肩負維護森林生態、保育自然資源之使命,為了達到下列之營運與管理目標,訂定本政策。
一、核心業務之資訊化作業得以持續不間斷運作,維持內部制度管理之有效性,提升對社會公眾之資訊服務品質。
二、確保所蒐集、處理與利用之所有資訊的機密性、完整性與正確性。
三、有關蒐集、處理與利用之個人資訊業務流程,符合「個人資料保護法」的要求。
貳、適用範圍
一、管理制度
本政策適用於資訊安全管理制度與個人資訊保護制度。
二、組織單位
(一)資訊安全管理制度本署各組(室)與各所屬機關之全體人員、業務往來單位、委外服務廠商、訪客及使用本署資訊服務之使用者等。
(二)個人資訊保護制度本署各組(室)與各所屬機關之人員所負責或經辦之業務或業務往來單位、委外服務廠商接受本署委託涉及蒐集、處理與利用個人資訊者。
參、政策要求
一、落實相關法令之遵循,包括智慧財產權保護法、個人資料保護法、農業部及所屬各機關資訊安全管理要點與規範等相關法規及與外部單位簽訂之協議、契約。
二、本署成立資訊安全管理委員會、各所屬機關成立資訊推動及安全處理小組,積極推動管理制度相關事項之計畫、執行、稽核、持續改善與溝通協調,並積極辦理資訊安全與個人資料保護之教育訓練及宣導,以確保人員熟悉業務執行所負之安全責任。
三、員工業務持有之資訊資產以公有公用為原則,依需求規劃進行分類分級,並進行業務需求考量之風險評估,達到有效之控管;資訊系統應予分級並實施資安防護基準;資訊化作業依業務執行之實際需求,規劃營運持續管理,以確保資訊化作業之可用性。
四、實體辦公環境及重要資訊設備機房均進行出入管制,並持續監控以維持環境之安全。
五、資訊設備及系統以採行強化之技術防護管理為原則,以職務劃分及最小需求之原則進行存取權限管理,以防止系統遭受不當存取、異動、損害或網路攻擊。
六、為防範電腦病毒及惡意軟體影響作業,除經合法授權之系統及應用軟體外,禁止使用其他非授權軟體。
七、對於個人資訊保護,必須符合下列要求:
(一)個人資訊之蒐集、處理與利用,應有特定目的,且為本署執行法定職務必要範圍,或經當事人同意,確保資訊取得之合法、正確及合適性。
(二)委託第三方組織蒐集、處理與利用個人資訊,必須進行管理與保護。
(三)提供當事人對其個人資訊查詢、製作複本、修正、補充、刪除或停止利用與抱怨或申訴之程序與管道,並於發生個人資訊安全事件時主動告知。
(四)指定專人辦理個人資料保護事項,對個人資訊之蒐集、處理與提供利用,應採取適當保護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
八、為確保管理制度之有效性,凡違反管理制度相關程序規範者,依相關規定審議懲處。
肆、責任
一、本署成立管理組織統籌管理制度相關事項之推動。
二、管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
三、本署全體人員、委外服務廠商與訪客等皆應遵守本政策。
四、本署全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
五、任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本署之相關規定進行議處。
伍、實施與修正
本政策經資訊安全管理委員會審查通過,由署長核定後實施,修正時亦同。