新竹生物醫學園區資訊安全政策

一、依據
依據電腦處理個人資料保護法、國家機密保護辦法與行政院及所屬各機關資訊安全管理要點等有關法令，衡酌本局 業務需求，參考行政院及所屬各機關資訊安全管理規範，研訂新竹生物醫學園區資訊安全管理 規範。

二、目的
新竹生物醫學園區（以下簡稱園區）成立以來，即以建設優良的投資環境，吸引高科技人才，引進高科技投資為宗 旨，目標在促進台灣產業升級，經過多年的努力，園區已成為發展成功的科學園區典範之一。本單位負責 園區的管 理，規劃園區的未來發展、吸引廠商投資、服務進駐的廠商的本局最重要的任務之一，就是快速e化園區，建立適 當的資訊安全管理系統，建置高科技產業永續經營環境，提昇效率及國際市場競爭力，以期對園區提供高品質的服 務。

三、資訊安全之定義
建置適當的資訊安全管理系統，以保障本單位資訊資產的安全。
所謂資訊安全的組成包含三要素：
機密性：適當保護資訊資產，讓資訊資產均為合法使用。
完整性：維持資訊資產內容的正確與完整。
可用性：確保資訊資產能隨時提供使用。

四、資訊安全之目標
建置適當的資訊安全管理系統，確保本單位資訊的機密性、完整性與可用性，加強本單位同仁對資訊安全的認知、提昇 資訊設備及網路系統之可靠性，避免資源遭受破壞或不當使用，遇緊急危難時，能迅速作必要的應變處置，並在最 短的時間內回復正常運作，以降低該事故可能帶來的損害，保障本單位資訊資產的安全。
五、資訊安全之範圍
資訊安全之範圍共分：

（一） 資訊安全政策制定及評估
（二） 資訊安全組織及權責
（三） 人員安全管理及教育訓練
（四） 資訊資產之安全管理
（五） 實體及環境安全管理
（六） 通訊安全管理
（七） 系統存取控制
（八） 系統發展及維護之安全管理
（九） 緊急應變
（十） 內部稽核

六、人員責任
1、資訊安全委員會應定期檢討本政策，以確保政策內容符合業務需求。
2、資訊安全委員會具有審核資訊安全計劃及流程的責任，來確保資訊資產受到保護。
3、全體同仁、委外人員及簽約廠商都有責任遵循本安全政策。
4、任何違反資訊安全的行為，都會接受適當的懲戒或法律處分。

七、實施原則
資訊安全即為確保本單位資訊資產的機密性、完整性與可用性，因此訂定下列實施之基本實施原則：

1.防止未經授權的不當存取資訊資產。
2.防止未經授權竄改資訊資產內容。
3.確保使用者對資訊資產使用需求可以得到滿足。
4.確保資訊不會在傳遞的過程中暴露給未經授權的第三者。
5.相關的資訊安全措施或規範應符合現行法令的要求。
6.適當授與全體員工資訊安全相關訓練。
7.同仁對其所保管的資訊及網路設備的電腦病毒有效防治負有義務及責任。
8.建立業務永續計畫，並定期演練及修訂。


八、事件處理

（一） 同仁發現資安事件必須立即回報本單位資通安全處理小組。
（二） 資通安全處理小組必須立刻依循資訊安全事件管理辦法來處理，並迅速做出適當的回應。


九、覆核
本政策內容每年由資訊安全委員會檢討，並進行必要之修訂，以確認符合本單位業務需求。