資訊安全政策

一、政策目的：

國防部全民防衛動員署後備指揮部（以下簡稱本部）為推動資訊安全管理系統，建立安全及可信賴之資訊作業環境，確保資料、系統、設備及網路安全，特訂定本「資訊安全政策」（以下簡稱本政策），以確保資訊安全及提升服務品質，並達永續經營之目標。

二、適用範圍：本部所有同仁、外部各方（如中央及部會機關、地方政府、國軍單位、供應商等）等，皆有責任遵循此一政策。

三、本部所有同仁、外部各方人員謹記：「資通安全，人人有責」。

四、資安政策及資安目標：

(一).為落實資訊安全管理，應遵循ISO 27001（資訊安全管理系統）之要求。

(二).本部所有同仁及外部各方人員，如需進入機敏處所（如應變指揮中心）及參與機敏專案等，各參與單位須依權責簽署「保密切結書」，並接受及通過安全查核。同時須遵守「國家機密保護法」、「個人資料保護法」、「著作權法」、「刑法」、「資通安全管理法」等國家及國防部相關法規之要求，且不得發生洩密或違法事件，否則依法究責。

(三).辦理本部受託業務之外部各方人員，其相關程序及環境應具備完善之資通安全管理措施或通過驗證。各方辦理受託業務其複委託之範圍與對象，及複委託亦應具備資通安全維護措施。

(四).委製、共同合作、專案或敏感資料（PII個人識別資料、機密資料等）存取或異動，均應設置存取權限，敏感資訊傳輸前必須先行加密。

(五).資訊安全目標及量測：

1.機密性目標及量測指標：毎年進行統計遭查獲洩漏機敏資料件數不得發生。

2.完整性目標及量測指標：毎年進行統計回報系統遭入侵竄改資料件數不得發生。

3.可用性目標及量測指標：毎年進行統計「後備軍人管理資訊系統」非計畫中斷服務4小時件數且不得超過1件。

4.適法性目標及量測指標：毎年進行資訊安全管理制度作業檢驗，因違反「國家機密保護法」、「個人資料保護法」、「資訊安全管理法」等國家相關法規件數不得發生。

5.本部同仁於年度內需接受至少3小時資安認知課程訓練。

6.本部資安專責人員於年度內需接受至少12小時資通安全專業課程訓練。

五、政策審查：

(一).本政策應至少每年評估審查一次，以符合政府相關法規之要求，並確保資訊安全管理作業之有效性。

(二).本政策須經管理委員會審查或資安長（或代理人）核准，於公告日施行，並以書面、電子或其他方式通知所有同仁及外部各方人員遵守，修正時亦同。