中央研究院資通安全暨個人資料保護政策及規範
中華民國98年4月8日經院長核定
中華民國102年4月12日經院長核定修訂
中華民國109年9月17日第4次院務會議審議通過
中華民國109年11月6日經院長核定修訂
中華民國102年4月12日經院長核定修訂
中華民國109年9月17日第4次院務會議審議通過
中華民國109年11月6日經院長核定修訂
- 中央研究院(以下稱本院)應建立可信賴之資通作業環境,確保資料、系統、設備及網路之安全,以協助本院研究及行政工作之正常運作,並依照個人資料保護法及其施行細則,提供管理階層對依法保護個人資料之支持與承諾。
- 本院應依下列原則確保本院各項資通資產及其使用者,符合資通安全要求:
- 學術研究、行政支援之相關電子資料,以及傳輸、儲存與處理此等資料之網路、電腦及程式等皆屬資通資產;確保本院資通資產之安全,為全院人員之共同責任。
- 本院應妥適保護所屬資通資產之機密性、完整性及可用性。
- 本院人員應遵守資通安全相關法令及本院相關規定。各單位若有資通資產之委外建置、維護等案件時,亦應遵守前述法令及規定。
- 本院應依法蒐集、處理及利用個人資料,以保護當事人權益,並促進個人資料之合理利用。
- 本院應綜合考量各項資通資產之重要性及價值,採行與資通資產價值相稱及具成本效益之安全措施,避免因人為疏失、蓄意或自然災害等事故,致資通資產遭不當使用、洩漏、竄改或破壞,影響及危害研究工作與行政支援。
- 本院應依相關法令及標準,就下列事項訂定實施要點或作業程序,經資通安全暨個人資料保護委員會審議通過,院長核定後實施。
- 人員管理暨資通安全訓練。
- 電腦機房安全管理。
- 網路安全管理。
- 電腦系統安全管理。
- 應用系統存取控制管理。
- 應用系統發展及維護安全管理。
- 電子資料安全管理。
- 個人資料保護暨安全維護。
- 其他有關資通安全、個人資料保護等事項。
前項所稱相關法令,包括國家機密保護法、個人資料保護法、著作權法、電子簽章法、資通安全管理法及其子法等法規。相關法令應刊載於本院全球資訊網,並依法令之增減或修訂更新相關網頁。
- 本院有關資通安全事項分工如下:
- 本院資通安全長由副院長或秘書長擔任,主管全院資通安全事務。
- 本院設「資通安全暨個人資料保護委員會」審議資通安全暨個人資料保護事項。
- 本院各單位均應指派資通安全主管(由單位副主管以上主管擔任)與資通安全連絡人。
- 本院設「資通安全稽核小組」會同政風室辦理資通安全稽核事項。
- 資通安全計畫與技術規範之規劃、評估、研擬,以及相關服務、教育訓練、宣導及統合協調等事項,由資訊服務處負責辦理。
- 資料及應用系統安全之需求研議、使用管理及維護等事項,由業務承辦單位或使用單位負責辦理。
- 資訊服務處應設「資通安全事件處理小組」,處理本院緊急或重大資通安全事件。
- 資訊機密維護事項,由政風室會同相關單位辦理。
- 為降低資通安全事件造成之損害,應建立相關通報與處理程序,並詳加記錄。
- 本政策及規範經院務會議通過,院長核定後實施,修正時亦同。