壹、政策緣由

貳、依據

參、政策說明

1. 一、 資通安全本質
   　　(一) 資通安全之本質分為以下三類：
   　　　　1. 可用性：確保經授權的人員在需要時，均能在可接受的時間內取得相關資訊及設備。
   　　　　2. 完整性：維持資訊或系統之正確與完整。
   　　　　3. 機密性：確保只有經授權的人員才能存取相關資訊。
   　　(二) 本基金會資通安全即為確保本基金會資訊資產之完整性、可用性與機密性。
   
2. 二、 政策目的與說明 為達成本基金會之任務目標及最高管理階層對資通安全之期許與要求，確保本基金會資訊資產之安全，資通安全政策訂為：
   　　(一) 確保本基金會相關業務資訊之機密性，防止本基金會敏感資訊及民眾個人資料外洩與遺失。
   　　(二) 確保本基金會相關業務資訊之完整性與可用性，以正確執行本基金會作業與各項業務。
   
3. 三、 目標
   為達成上述目的，將相關目標分為定量與定性二類：
   　　1. 定量化目標包括：
   　　　　(1) 確保相關資通安全措施或規範符合政策與現行法令之要求，每年至少進行一次資訊安全查核。
   　　　　(2) 每年至少進行一次業務永續計畫之測試及檢核。
   　　2. 定性化目標包括：
   　　　　(1) 確保資訊資產受適當之保護，防止未經授權或因作業疏忽對資產所造成之損害。
   　　　　(2) 確保所有資通安全事件或可疑之安全弱點，皆依適當通報程序反映，並予以適當調查及處理。
   　　　　(3) 符合政府資通安全相關政策、規定以及相關法令要求。
   　　　　(4) 定期實施資通安全教育。
   

肆、 適用範圍

伍、 責任劃分

1. 一、 本基金會高階主管應宣示落實資通安全之決心，以確保本基金會資通安全措施之實施，並責成相關單位與人員成立資訊安全執行小組，配置資通安全責任與進行有效之資源管理。
2. 二、 資訊安全執行小組之召集人因故無法參與各項資通安全活動時由副召集人代理之。
3. 三、 本基金會各單位應遵循並落實本政策之要求。
4. 四、 所有人員(正職、行政助理與專案計畫人員)、各連線使用單位、簽約廠商及委外廠商都應遵循本政策。
5. 五、 所有人員(正職、行政助理與專案計畫人員)皆負有通報所發現之資通安全事件或資通安全弱點之責任。

陸、 其他規定

1. 一、 本基金會所有人員(正職、行政助理與專案計畫人員)違反本政策，或發生其他任何危及本會資通安全之行為，都將訴諸適當之處置程序或法律行動。
2. 二、 本基金會所有人員(正職、行政助理與專案計畫人員)應瞭解於工作期間所有取得之資訊皆為本會之資產，未經允許，禁止做任何其他未授權之使用。
3. 三、 本基金會與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。

柒、 修訂