壹、依據
一、資通安全管理法暨其施行細則、各子法。
二、勞動部資通安全政策。
貳、目的
勞動部勞工保險局(以下簡稱本局)為強化資通安全管理,特針對本局所有電腦系統、網路、資料、設備、行為人、防毒及防範駭客等有關資通訊作業環境,予以納入安全管理機制,並做好資通安全宣導,以便建立一套防範及緊急應變措施,確保本局資通訊作業安全,特訂定本資通安全政策(以下簡稱本政策)。
參、適用範圍
一、本局全體員工、委外服務廠商與其駐局工作員工及訪客(以下簡稱全體人員)。
二、本局所有單位其作業安全措施除另有規定外,應依照本政策及相關資通安全管理程序、規範、安全維護措施及機密維護實施計畫等規定辦理。
肆、定義
一、資通安全:防止本局資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
二、網宇安全:採取相關安全管控機制,降低來自社交工程、駭客攻擊、惡意軟體或間諜軟體等威脅,以達成網宇空間中處理資訊之機密性、完整性及可用性的目標,保護人民、社會、組織和國家免受網路風險(Cyber risks);網宇空間(Cyberspace)是指透過科技設備和網路連接,人與軟體、網路服務互動下所產生的複雜環境,是一種非以實體形式存在的環境。
伍、管理項目
一、資通安全目標
(一)確保本局相關業務資訊之機密性,防止本局機敏資料及民眾個人資料外洩與遺失。
(二)確保本局承辦之勞工保險業務,與接受委託(任)辦理之多項業務,包括積欠工資墊償基金提繳及墊償業務、農民健康保險業務、老年農民福利津貼發放業務、就業保險業務、勞工退休金新制業務、國民年金保險業務、農民退休儲金業務、產檢假薪資補助業務、勞工職業災害保險及保護業務等之完整性與可用性,正確提供與執行各項業務,保障勞工、農民、原住民及一般國民之生活,以促進社會安定與繁榮。
(三)遵循「勞動部資通安全政策」、「資通安全管理法暨其施行細則、各子法」、及「個人資料保護法暨其施行細則」等規範,建立安全及正常運作之作業環境,確保本局電腦資料、系統、設備及網路安全,健全本局資通訊安全之機密性、完整性及可用性,以保障民眾權益及本局業務永續經營運作。
二、資通安全聲明
資通安全記得牢,風險防範更可靠。
資通安全做得好,業務永續沒煩惱。
三、資通安全工作項目
包括本局資通安全組織及權責、人員安全管理及教育訓練、操作安全管理、通訊安全管理、存取控制安全管理、應用系統開發及維護之安全管理、金鑰密碼管理、資訊資產之安全管理、實體及環境之安全管理、業務永續運作之規劃及管理、資通安全稽核、矯正及預防措施管理、資通安全事故管理、委外廠商關係管理、雲端服務安全、威脅情資、隱私保護、遵循性管理等工作項目。
四、資通安全責任
(一)全體人員應遵循本局相關資通安全政策、程序、規範、安全維護措施及機密維護實施計畫等規定,任何危及資通安全之行為,將予以懲處或訴諸法律行動。
(二)全體人員都有責任於發現資通安全意外事故或資通安全弱點時,依循資通安全事件通報流程主動回報。
五、資通安全政策及訊息之宣導
定期宣導資通安全政策及訊息,提升全體人員資通安全觀念與責任。
六、資通安全工作之推行
應成立推行資通訊安全工作之組織,賦予組織任務、權責、分工原則,確保本局資訊安全管理系統由上而下的觀念,分工與責任的分派,以達成提升資通訊安全管理水準,健全本局資訊安全管理制度。
七、資通安全事件之緊急通報處理機制
須針對發生資通安全事件,建置緊急通報處理機制,內容應包括緊急通報程序、處理流程、相關規定及說明。
八、資通安全教育訓練之要求
應定期對全體人員進行資通安全教育訓練或宣導,使其瞭解資通安全的重要性,以提高資通安全意識,並遵守資通安全相關規定。
九、其他規定
(一)本政策暨相關資通訊安全程序、規範等規定每年至少評估一次,依業務變動、技術發展、標準改版及風險評鑑的結果進行修訂,並施以適當方式周知全體人員。
(二)本政策之評估,應由資通安全推動小組負責辦理,並簽陳局長或其授權人員核定。