壹、依據
一、資通安全管理法暨其施行細則、各子法。
二、勞動部資訊安全政策。
貳、目的
勞動部勞工保險局(以下簡稱本局)為強化資訊安全管理,特針對本局所有電腦系統、網路、資料、設備、行為人、防毒及防範駭客等有關資訊作業環境,予以納入安全管理機制,並做好資訊安全宣導,以便建立一套防範及緊急應變措施,確保本局資訊作業安全,特訂定本資訊安全政策(以下簡稱本政策)。
參、適用範圍
一、本局全體員工、約聘僱人員、委外服務廠商與其駐局工作員工及訪客(以下簡稱全體人員)。
二、本局所有單位其作業安全措施除另有規定外,應依照本政策及相關資訊安全管理程序、規範、安全維護措施及機密維護實施計劃等規定辦理。
肆、定義
資訊安全:所謂資訊安全係採行具體有效及具成本效益之管理、作業及技術等安全防護手段、措施或機制,以確實掌握本局各項資訊資產免遭不當使用、洩漏、竄改、竊取、破壞等情事,以及遭受惡意攻擊、破壞或不當使用等緊急事故發生時,可迅速作必要之應變處置,並在最短時間內回復正常運作,以降低事故可能影響及危害本局業務運作之損害程度。
伍、管理項目
一、資訊安全目標
(一)確保本局相關業務資訊之機密性,防止本局機敏資料及民眾個人資料外洩與遺失。
(二)確保本局承辦之勞工保險業務,與接受委託(任)辦理之多項業務,包括積欠工資墊償基金提繳及墊償業務、農民健康保險業務、老年農民福利津貼發放業務、就業保險業務、勞工退休金新制業務、國民年金保險業務、農民退休儲金業務、產檢假薪資補助業務、勞工職業災害保險及保護業務等之完整性與可用性,正確提供與執行各項業務,保障勞工、農民、原住民及一般國民之生活,以促進社會安定與繁榮。
(三)遵循「勞動部資訊安全政策」、「資通安全管理法暨其施行細則、各子法」、及「個人資料保護法暨其施行細則」等規範,建立安全及正常運作之作業環境,確保本局電腦資料、系統、設備及網路安全,建全本局資訊安全之機密性、完整性及可用性,以保障民眾權益及本局業務永續經營運作。
二、資訊安全聲明
心中有資安,處處注意保平安,資安做的好,業務永續經營好。
三、資訊安全工作項目
包括本局資訊安全組織及權責、人員安全管理及教育訓練、操作安全管理、通訊安全管理、存取控制安全管理、應用系統開發及維護之安全管理、金鑰密碼管理、資訊資產之安全管理、實體及環境之安全管理、業務永續運作之規劃及管理、資訊安全稽核、矯正及預防措施管理、資訊安全事故管理、委外廠商關係管理、遵循性管理、電子資料隱私保護等工作項目。
四、資訊安全責任
(一)全體人員應遵循本局相關資訊安全政策、程序、規範、安全維護措施及機密維護實施計畫等規定,任何危及資訊安全之行為,將予以懲處或訴諸法律行動。
(二)全體人員都有責任於發現資訊安全意外事故或資訊安全弱點時,依循資訊安全事件通報流程主動回報。
五、資訊安全政策及訊息之宣導
定期宣導資訊安全政策及訊息,提昇全體人員資訊安全觀念與責任。
六、資訊安全工作之推行
應成立推行資訊安全工作之組織,賦予組織任務、權責、分工原則,確保本局資訊安全管理系統由上而下的觀念,分工與責任的分派,以達成提昇資訊安全管理水準,健全本局資訊安全管理制度。
七、資訊安全事件之緊急通報處理機制
須針對發生資訊安全事件,建置緊急通報處理機制,內容應包括緊急通報程序、處理流程、相關規定及說明。
八、資訊安全教育訓練之要求
應定期對全體人員進行資訊安全教育訓練或宣導,使其瞭解資訊安全的重要性,以提高資訊安全意識,並遵守資訊安全相關規定。
九、其他規定
(一)本政策暨相關資訊安全程序、規範等規定每年至少評估一次,依業務變動、技術發展及風險評鑑的結果進行修訂,並施以適當方式周知全體人員。
(二)本政策之評估,應由資訊安全推動小組負責辦理,並簽陳局長或其授權人員核定。