1 目的

確保國立中央大學（以下簡稱本校）所屬之資訊資產的機密性、完整性及可用性，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。

2 適用範圍

2.1 本校之全體教職員工、約聘（僱）人員及臨時人員（如實習生、工讀生等短期作業人員）、委外服務廠商與訪客皆應遵守本政策。

2.2 本資訊安全管理範疇涵蓋14個領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校造成各種可能之風險及危害：

2.2.1   資訊安全政策

2.2.2   資訊安全之組織

2.2.3   人力資源安全

2.2.4   資產管理

2.2.5   存取控制

2.2.6   密碼學

2.2.7   實體及環境安全

2.2.8   運作安全

2.2.9   通訊安全

2.2.10 系統獲取、開發及維護

2.2.11 供應者關係

2.2.12 資訊安全事故管理

2.2.13 營運持續管理之資訊安全層面

2.2.14 遵循性

3 資訊安全管理責任

3.1    由本校管理階層建立及審查此政策。

3.2    管理階層應積極參與及支持資通安全管理制度，透過適當的標準和程序以實施此政策。

3.3    本校全體教職員工、約聘（僱）人員及臨時人員（如實習生、工讀生等短期作業人員）、委外服務廠商與訪客均須依照相關安全管理程序以維護資訊安全政策。

3.4    本校全體人員及委外廠商有責任報告資訊安全事件和任何已鑑別出之弱點。

3.5    任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行懲處。

3.6    依據「有效性量測表」定期審查資通安全目標之達成與管理制度之有效。

4 資訊安全政策

為使本機關業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循：

4.1    應建立資通安全風險管理機制，定期因應內外在資通安全情勢變化，檢討資通安全風險管理之有效性。

4.2    應保護機敏資訊及資通系統之機密性與完整性，避免未經授權的存取與竄改。

4.3    應強固核心資通系統之韌性，確保機關業務持續營運。

4.4    應因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本機關同仁之資通安全意識。

4.5    針對辦理資通安全業務有功人員應進行獎勵。

4.6    勿開啟來路不明或無法明確辨識寄件人之電子郵件。

4.7    禁止多人共用單一資通系統帳號。

5 審查與修訂

本政策應至少每年審查1次，以反映政府法令、技術及業務等最新發展現況，以確保本校永續運作及提供資訊服務之能力。

6 實施

6.1 本政策經本校「資訊安全暨個人資料保護推動委員會」核定後實施，修訂時亦同。

最後更新:2025.3