freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

地資訊安全手冊(編輯修改稿)

2025-07-26 12:34 本頁面
 

【文章內容簡介】 息安全管理要點等有關法令,衡酌機關業(yè)務需求,參考本規(guī)范訂定信息安全政策,研訂信息作業(yè)之安全水平,并以書面、電子或其它方式通知員工及與機關連線作業(yè)之有關機關(構)、廠商。(二)制訂信息安全政策,應至少包括下列事項:信息安全之定義、信息安全之目標及信息安全之范圍等。 信息安全政策之解釋及說明,信息安全之原則、標準,以及員工應遵守之規(guī)定,包括: (1)政府法令及契約對機關信息安全之要求及規(guī)定。 (2)信息安全教育及訓練之要求。 (3)計算機病毒防范之要求。 (4)業(yè)務永續(xù)運作計劃。 推行信息安全工作之組織、權責及分工。 員工應負的一般性及特定的信息安全責任。 發(fā)生信息安全事件之緊急通報程序、處理流程、相關規(guī)定及說明。二、信息安全政策之評估 (一)制訂之信息安全政策,應定期進行獨立及客觀的評估,以反映政府信息安全管理政策、法令、技術及機關業(yè)務之最新狀況,確保信息安全之實務作業(yè),確實遵守信息安全政策,以及確保信息安全實務作業(yè)之可行性及有效性。 (二)信息安全政策評估作業(yè),可責由具有專業(yè)技術及知識之內部稽核單位、獨立客觀的資深主管人員,或是委請公正超然的民間專業(yè)組織或團體,進行信息安全政策執(zhí)行成果之評估。 (三)應定期對所屬單位及人員進行信息系統(tǒng)及技術應用之安全評估,以確保其遵守信息安全政策及規(guī)定。 應列入信息安全評估的對象如下: (1)信息設施及系統(tǒng)提供者。 (2)信息及數(shù)據(jù)擁有者。 (3)使用者。 (4)管理者。 (5)系統(tǒng)維護者。 (6)其它有關人員。 信息系統(tǒng)擁有者應配合定期的信息安全評估,檢討相關人員是否遵守機關信息安全政策、規(guī)范及有關安全規(guī)定。 應定期檢討及評估各項軟、硬設備的安全性,以確保其符合機關訂定的安全標準;評估對象應包括操作系統(tǒng)之評估,以確保系統(tǒng)軟件及硬件的安全措施,正確及有效地執(zhí)行。 如專業(yè)人力及經(jīng)驗不足,得委請民間專業(yè)組織團體或學者專家之協(xié)助。 系統(tǒng)安全評估應由具有專業(yè)知識及豐富經(jīng)驗的系統(tǒng)工程人員,在權責主管人員的監(jiān)督下,以人工的方式執(zhí)行,或是以自動化的軟件工具執(zhí)行安全檢查,產(chǎn)生技術評估報告,以利日后解讀分析。(四)信息安全政策及規(guī)定之宣達 信息安全政策及人員在信息安全應扮演之角色及責任等有關規(guī)定,應在工作說明書或有關作業(yè)手冊中載明。 工作說明書或作業(yè)手冊規(guī)定之信息安全政策、說明及規(guī)定,應包括執(zhí)行及維護信息安全政策的一般性責任規(guī)定、保護特定信息資產(chǎn)的特別責任規(guī)定,以及執(zhí)行特別安全程序及作為的特別責任規(guī)定。 員工如違反信息安全相關規(guī)定,應依紀律程序處理。  貳、信息安全組織及權責信息安全組織 (一)應指定副首長或高層主管人員,負責推動、協(xié)調及督導下列信息安全管理事項: 信息安全政策之核定、核轉及督導。 信息安全責任之分配及協(xié)調。 信息資產(chǎn)保護事項之監(jiān)督。 信息安全事件之檢討及監(jiān)督。 其它信息安全事項之核定。 (二)得視需要成立跨部門信息安全推行小組,推動下列事項: 跨部門信息安全事項權責分工之協(xié)調。 應采用之信息安全技術、方法及程序之協(xié)調研議。 整體信息安全措施之協(xié)調研議。 信息安全計劃之協(xié)調研議。 其它重要信息安全事項之協(xié)調研議。 信息安全組織權責 (一)信息安全責任分配 應訂定保護個人信息資產(chǎn)及執(zhí)行特定信息安全作業(yè),有關人員應負之責任。 應訂定有關人員在信息安全作業(yè)應扮演之角色,責任分配之一般性指導原則,以作為各單位之權責分工依據(jù)。 每一系統(tǒng)應指定系統(tǒng)擁有者,并課予必要的安全責任。 應明定每一管理者應負的信息安全責任。 應訂定每一系統(tǒng)的信息資產(chǎn)項目,并訂定必要的安全程序及措施。 應指定每一項信息資產(chǎn)及信息安全程序的管理人員,并以書面、電子或其它方式告知其責任。應訂定信息安全之授權規(guī)定、授權等級及授權程序等,并以書面、電子或其它方式記錄之。(二)信息安全分工原則 信息安全管理之分工原則如下: (1)信息安全相關政策、計劃、措施及技術規(guī)范之研議,以及安全技術之研究、建置及評估相關事項,由信息單位負責辦理。 (2)數(shù)據(jù)及信息系統(tǒng)之安全需求研議、使用管理及保護等事項,由業(yè)務單位負責辦理。 (3)信息機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。 設有稽核單位者,稽核使用管理事項由稽核單位會同政風單位辦理。 未設置信息及政風單位者,由機關首長指定適當?shù)膯挝患叭藛T負責辦理信息安全管理事項。 業(yè)務性質特殊者,得視實際需要由首長調整上述信息安全分工原則。(三)信息設施之使用授權 引進及啟用新信息科技(如軟件、硬件、通信及管理措施等),應于事前進行安全評估,了解新信息科技之安全保護措施及水平,并依行政程序經(jīng)權責主管人員核淮,始得引用,以免影響既有的信息安全措施。 新信息科技設施之使用,應依下列行政程序辦理: (四)跨機關之合作及協(xié)調 信息安全管理人員應與外部的信息安全專家或顧問加強協(xié)調聯(lián)系,相互合作,分享經(jīng)驗,以評估機關可能面臨的信息安全威脅,據(jù)以研擬及推動信息安全實務措施。 應與業(yè)務密切相關的機關、執(zhí)法機關、信息服務提供者及通信機構等,建立及維持適當?shù)幕庸艿溃员阍诎l(fā)生信息安全事件時,能迅速獲得外部的資源協(xié)助,實時解決相關問題。 記載信息安全事項之有關文件或信息,在提供外界使用及進行經(jīng)驗交流時,應予適當?shù)南拗疲苑乐馆d有信息安全細節(jié)的敏感性信息,遭未經(jīng)授權的人員取用。(五)信息安全顧問及咨詢 信息安全人力、能力及經(jīng)驗,如有不足之處,得委請外界的學者專家或民間專業(yè)組織及團體,提供信息安全顧問咨詢服務。 對委請信息安全顧問,或負責信息安全之人員,各單位及人員應予必要的協(xié)助及支持。參、人員安全管理及教育訓練一、人員進用之評估 (一)人員進用之安全評估 進用之人員,如其工作職責須使用處理敏感性、機密性信息的科技設施,或須處理機密性及敏感性信息者,應經(jīng)適當?shù)陌踩u估程序。 人員進用之安全評估參考項目如下: (1)個人性格。 (2)申請者之經(jīng)歷。 (3)學術及專業(yè)能力及資格。 (4)人員身分之確認。 (5)財物及信用狀況。(二)機密維護之責任約定 員工使用信息科技設施,應依相關法令課予機密維護責任,并應盡可能簽署書面約定,以明責任。 當人員任用及約聘雇條件或契約有所變更時,尤其是人員離職或是約聘雇用契約終止時,應重新檢討機密維護責任約定之妥適性。二、使用者信息安全教育訓練 (一)信息安全教育訓練 應定期對員工進行信息安全教育及訓練,促使員工了解信息安全的重要性,各種可能的安全風險,以提高員工信息安全意識,促其遵守信息安全規(guī)定。 應以人員角色及職能為基礎,針對不同層級的人員,進行適當?shù)男畔踩逃坝柧?;信息安全教育及訓練的內容應包括:信息安全政策、信息安全法令?guī)定、信息安全作業(yè)程序,以及如何正確使用信息科技設施之訓練等。 在同意及授權使用者存取系統(tǒng)前,應教導使用者登入系統(tǒng)的程序,以及如何正確操作及使用軟件。 對員工進行信息安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。肆、計算機系統(tǒng)安全管理一、計算機系統(tǒng)作業(yè)程序及責任 (一)計算機系統(tǒng)作業(yè)程序之訂定 應訂定計算機系統(tǒng)作業(yè)程序,并以書面、電子或其它方式載明之,以確保機關員工正確及安全地操作及使用計算機,并以其作為系統(tǒng)發(fā)展、維護及測試作業(yè)的依據(jù)。 計算機系統(tǒng)作業(yè)程序應載明執(zhí)行每一項計算機作業(yè)的詳細規(guī)定: (1)如何正確地處理數(shù)據(jù)文件。 (2)計算機系統(tǒng)作業(yè)時程的需求,包括與其它系統(tǒng)的相互關系、作業(yè)啟動的最早時間及作業(yè)結束的最晚時間。 (3)處理計算機當機及發(fā)生作業(yè)錯誤之規(guī)定,以及其它計算機系統(tǒng)作業(yè)之限制事項。 (4)如果遭遇非預期的計算機系統(tǒng)作業(yè)技術問題時,如何與支持人員聯(lián)系之規(guī)定。 (5)數(shù)據(jù)輸出處理的特別規(guī)定,例如:使用特別的文具,或是對機密數(shù)據(jù)輸出之管理、計算機當機或作業(yè)錯誤時,輸出信息之安全處理規(guī)定等。 (6)計算機當機重新啟動及回復正常作業(yè)之程序。 (7)計算機及網(wǎng)絡之日常管理作業(yè),例如:開關機程序、數(shù)據(jù)備援、設備維護、計算機機房之安全管理;計算機系統(tǒng)作業(yè)程序應視為正式文件,作業(yè)程序的更改必須經(jīng)權責單位核準。(二)信息安全事件之管理 應建立處理信息安全事件之作業(yè)程序,并課予相關人員必要的責任,以便迅速有效處理信息安全事件。 發(fā)生信息安全事件之反應與處理作業(yè)程序,應納入下列事項: (1)計算機當機及中斷服務。 (2)業(yè)務數(shù)據(jù)不完整,或數(shù)據(jù)不正確導致的作業(yè)錯誤。 (3)機密性資料遭侵犯。 除正常的應變計劃外(如系統(tǒng)及服務之回復作業(yè)),信息安全事件之處理程序,尚應納入下列事項: (1)導致信息安全事件原因之分析。 (2)防止類似事件再發(fā)生之補救措施的規(guī)劃及執(zhí)行。 (3)計算機稽核軌跡及相關證據(jù)之搜集。 (4)與使用者及其它受影響的人員,或是負責系統(tǒng)回復的人員進行溝通及了解。 計算機稽核軌跡及相關的證據(jù),應以適當?shù)姆椒ūWo,以利下列管理作業(yè): (1)作為研析問題之依據(jù)。 (2)作為研析是否違反契約或是違反信息安全規(guī)定的證據(jù)。 (3)作為與軟件及硬件之供貨商,協(xié)商如何補償之依據(jù)。應以審慎及正式的行政程序,處理信息安全及計算機當機事件。作業(yè)程序應該包括下列事項: (1)應在最短的時間內,確認已回復正常作業(yè)的系統(tǒng)及安全控制系統(tǒng),是否完整及真確。 (2)應向管理階層報告緊急處理情形,并對信息安全事件詳加檢討評估,以找出原因及檢討改正。 (3)應限定只有被授權的人員,才可使用已回復正常作業(yè)的系統(tǒng)及數(shù)據(jù)。 (4)緊急處理的各項行動,應予詳細記載,以備日后查考。(三)信息安全責任之分散 為降低因人為疏忽或故意,導致數(shù)據(jù)或系統(tǒng)遭不法或不當之使用,或遭未經(jīng)授權的人員竄改,對關鍵性的信息業(yè)務,應將信息安全管理及執(zhí)行的責任分散,分別配賦相關人員必要的安全責任。必要時,應建立相互制衡機制。 如信息人力資源許可,應盡可能分由不同的人員執(zhí)行下列業(yè)務及功能: (1)業(yè)務系統(tǒng)之使用。 (2)資料建文件。 (3)計算機作業(yè)。 (4)網(wǎng)絡管理。 (5)系統(tǒng)行政管理。 (6)系統(tǒng)發(fā)展及維護。 (7)變更管理。 (8)安全管理。 (9)安全稽核。(四)系統(tǒng)發(fā)展及系統(tǒng)實作之分開處理 系統(tǒng)發(fā)展及測試作業(yè)可能會有軟件變更及計算機資源共享之情形,為降低可能的風險,應將系統(tǒng)發(fā)展及系統(tǒng)實作的設施分開處理,以減少作業(yè)軟件或數(shù)據(jù)遭意外竄改,或是遭未經(jīng)授權的存取。 系統(tǒng)發(fā)展及系統(tǒng)實作之分開處理,應考慮下列安控措施: (1)系統(tǒng)發(fā)展及系統(tǒng)實作的軟件,應盡可能在不同的處理器上作業(yè),或是在不同的目錄或領域下作業(yè)。 (2)系統(tǒng)發(fā)展及測試作業(yè)應盡可能分開。 (3)編輯器及其它公用程序不再使用時,不得與操作系統(tǒng)共同存放。 (4)實作及測試用的系統(tǒng),應使用不同的登入程序,以減少風險。(五)信息作業(yè)委外服務之安全管理 信息業(yè)務委外時,應于事前審慎評估可能的潛在安全風險(例如數(shù)據(jù)或使用者通行碼被破解、系統(tǒng)被破壞或數(shù)據(jù)損失等風險),并與廠商簽訂適當?shù)男畔踩珔f(xié)議,以及課予相關的安全管理責任,并納入契約條款。 應納入信息委外服務契約的信息安全事項如下: (1) 涉及機密性、敏感性或是關鍵性的應用系統(tǒng)項目。 (2)應經(jīng)核準始得執(zhí)行的事項。 (3)廠商如何配合執(zhí)行機關業(yè)務永續(xù)運作計劃。 (4)廠商應遵守的信息安全規(guī)范及標準,以及評鑒廠商遵守信息安全標準的衡量及評估作業(yè)程序。 (5)廠商處理及通報信息安全事件的責任及作業(yè)程序。二、系統(tǒng)規(guī)劃 (一)系統(tǒng)作業(yè)容量之規(guī)劃 應隨時注意及觀察分析系統(tǒng)的作業(yè)容量,以避免容量不足而導致計算機當機。 應進行計算機系統(tǒng)作業(yè)容量之需求預測,以確保足夠的計算機處理及儲存容量。 應特別注意系統(tǒng)之作業(yè)容量,預留預算及采購行政作業(yè)的前置時間,俾利進行前瞻性的規(guī)劃,及時獲得必要的作業(yè)容量。 系統(tǒng)管理人員,應隨時注意及觀察分析系統(tǒng)資源使用狀況,包括處理器、主儲存裝置、檔案儲存、打印機及其它輸出設備及通信系統(tǒng)之使用狀況;管理人員應隨時注意上述設備的使用趨勢,尤應注意系統(tǒng)在業(yè)務處理及信息管理上的應用情形。 應隨時掌握及利用計算機及網(wǎng)絡系統(tǒng)容量使用狀況的信息,分析及找出可能危及系統(tǒng)安全的瓶頸,預作補救措施之規(guī)劃。(二)新系統(tǒng)上線作業(yè)之安全評估 應訂定新系統(tǒng)被認可及納入正式作業(yè)的標準,并在新系統(tǒng)上線作業(yè)前,執(zhí)行適當?shù)臏y試。 新系統(tǒng)被認可及納入正式作業(yè)的標準,應執(zhí)行下列事項: (1)應評估系統(tǒng)作業(yè)效能及計算機容量是否滿足機關的需求。 (2)應檢查發(fā)生錯誤后之回復作業(yè)及系統(tǒng)重新啟動程序的準備作業(yè),以及信息安全事件之緊急應變作業(yè)完備與否。 (3)應進行新系統(tǒng)正式納入例行作業(yè)程序之準備及測試。 (4)應評估新系統(tǒng)的建置是否影響現(xiàn)有的系統(tǒng)作業(yè),尤其是對系統(tǒng)尖峰作業(yè)時段之影響。 (5)應辦理新系統(tǒng)作業(yè)及使用者教育訓練。 在發(fā)展重要的系統(tǒng)時,應確定系統(tǒng)的功能,以及確保系統(tǒng)的作業(yè)效能,使其足以滿足需求;例如,在系統(tǒng)發(fā)展的每一階段,應充分咨詢相關人員的意見。 新系統(tǒng)上線作業(yè)前,應執(zhí)行適當?shù)臏y試作業(yè),以驗證系統(tǒng)功能符合既定的安全標準。(三)預備作業(yè)之規(guī)劃 應規(guī)劃信息系統(tǒng)設備損害或計算機當機時,可維持機關業(yè)務繼續(xù)正常作業(yè)的替代性預備作業(yè)方法。 每一系統(tǒng)的預備作業(yè)需求,應在業(yè)務永續(xù)運作的基礎上,由系統(tǒng)的擁有者加以界定;信息服務提供者亦應為每一項系統(tǒng)研訂適當?shù)念A備作業(yè)計劃。 應定期測試預備作業(yè)的設備及程序。(四)作業(yè)變更之管理 信息設施及系統(tǒng)的變更,應建立控制及管理機制,以免造
點擊復制文檔內容
研究報告相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1