資訊安全及隱私權政策
更新時間:2025-10-28 10:36
「國家原子能科技研究院全球資訊網」資通安全暨個資保護政策
親愛的朋友,感謝您蒞臨「國家原子能科技研究院全球資訊網」(以下稱本院網站),為了讓您能安心的使用本院網站提供的各項服務與資訊,特此向您說明本院網站隱私權保護及網站安全政策。請您詳細閱讀下列資訊:
一、目的
資通安全暨個資保護政策(本政策)之目的為強化國家原子能科技研究院(以下簡稱本院)整體資通安全暨個資保護,透過制度控管維持一定的資訊服務水準;避免因外在威脅或內部人員不當管理與使用,致資訊資產遭受竄改、揭露、竊取、破壞或遺失等風險,將資安事故發生機率及事故所造成之風險降至最低程度,維護本院各項業務正常運作以期能內化為組織文化的一部份。
本院資訊相關系統設備除提供內部人員作業處理外,亦透過網路與民眾資訊傳遞及互動溝通之管道,其相關資通系統作業應用之持續性運作,攸關本院功能運作及業務推廣之正確性,為擬定資通安全管理系統之指導方針,藉以降低資通安全風險,落實個人資料之保護及管理並符合「個人資料保護法」及其子法之要求,特建立本政策。
二、依據
1、資通安全管理法
2、資通安全管理法施行細則
3、資通安全責任等級分級辦法
4、資通安全事件通報及應變辦法
5、資通安全情資分享辦法
6、公務機關所屬人員資通安全事項獎懲辦法
7、個人資料保護法。
8、個人資料保護法施行細則
9、個人資料保護法之特定目的及個人資料之類別。
10、ISO/IEC 27001:2022。
11、CNS 27001:2023。
三、適用範圍
本政策適用於本院各項資訊資產及其資訊使用者(含本院所屬人員、各應用系統建置維護廠商及其他經授權使用資訊資產之人員)。
四、處理原則
資通安全管理系統暨個人資料保護作業之政策,為本院管理過程與決心,下列內容可公開於網際網路提供任何人參閱:
1、共通政策
(1)、應依據本院組織與業務目的,審慎評估資通暨個資安全作業需求與目標,並確保本院關鍵性業務持續運作不中斷。
(2)、各項安全管理規定必須遵守政府相關法令、法規(如:刑法、國家機密保護法、檔案法、著作權法及個人資料保護法等)之規定。
(3)、鑑別內部與外部的利害關係人以及參與本院資通安全暨個資保護的程度,並辨識工作人員的職責及權責。
(4)、本院高階主管應積極參與資通安全管理活動,提供對資通安全之支持及承諾。
(5)、定期召開高階會議以確保資通安全管理暨個資保護作業之整體持續改善。
(6)、定期提供本院人員資通安全暨個資保護訓練課程,提昇人員資通安全暨個資保護認知。
(7)、定期訂定資通安全暨個資保護內部稽核計畫,檢視本院資通安全暨個資保護之情形,依稽核報告擬定及執行矯正措施。
(8)、本院人員(含繼續任用人員、院聘人員)若未遵守本政策或發生任何違反本政策之行為,將依相關規定處理。
2、資通安全政策
(1)、本院各處所之資通安全小組成員協辦資通安全各項事宜。
(2)、本院人員(含繼續任用人員、院聘人員)皆須遵守本院情資威脅、弱點及資安事件管理、分析與通報機制,並通報所發現之資通安全事件或資通安全弱點。
(3)、本院提供資通安全服務作業,確保所取得之技術檢測之機敏資料均已取得授權使用,並適當安全管理。
(4)、為符合本政策目標,應制定風險評估暨管理程序,進行風險評估與管理,以有效管理資訊資產面臨之風險,降低風險至可接受範圍。
(5)、明確規範資通系統及網路服務之使用權限,防止未經授權之存取動作。
(6)、本院供應商若需進入資訊機房或使用本院網路環境皆須簽署保密協議書,並遵守本政策以及相關程序之規定,不得未經授權使用或濫用本院各類資訊資產。
3、個資安全政策
(1)、本院各處所個資管理小組負責個人資料保護制度之建立及推動事宜,以確認本院個資安全政策能被實施並配置相當資源。
(2)、為符合本政策目標,應維持一份組織處理的個人資訊類別清單(如:個資清查彙整表),建立個人資料之風險評估及管理機制。
(3)、建立設備、資料安全及人員管理規範及個資事故之預防、通報與應變機制。
(4)、建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制,以為後續舉證或證明已盡善良管理人之用。
(5)、僅會基於合法之目的及執行法定義務的必要的範圍內公平並合法的處理個人資訊。
(6)、僅會基於合法之目的蒐集最少且必要的個人資訊,處理相關且適當的個人資訊亦不會超出蒐集之目的,對於保存個資的時間須為法律或規定的需求理由或為合法的組織目的。
(7)、維持正確的個人資訊並確保其安全,且於必要時維持其資訊為最新的狀態。
(8)、本院於個人資訊處理或利用前清楚告知當事人,會以適當方式使用當事人個人資訊,並且尊重當事人與其個人資訊的相關的權利,包括對於個人資訊的存取權。
五、政策之評估及檢討
本政策內容應定期由資通安全小組、個資管理小組每年定期或因本院業務、法令或環境等因素之更迭,予以適當修訂,確保本院資通暨個資安全實務作業的可行性及有效性。
如果您對本網站的隱私權保護宣告有任何疑問,歡迎來信指教
如果您對本網站的隱私權保護宣告有任何疑問,歡迎來信指教
