１、目的

臺中市政府消防局 (以下簡稱本局) 資訊相關系統軟硬體設備除提供內部人員作業處理外，亦透過網際網路與市民互動之溝通管道，其相關資訊系統作業應用之持續性運作，攸關本局救災救護勤務及消防業務推動之順遂，故訂定本資訊安全政策，作為資訊安全工作之指導方針，藉以降低資訊風險。

２、依據

2.1.資通安全管理法

2.2.資通安全維護計畫

2.3.行政院及所屬各機關資訊安全管理要點

2.4.行政院及所屬各機關資訊安全管理規範

2.5.國家資通訊安全發展方案

2.6.ISO/IEC 27001(Information technology—Security techniques—Information security management systems—Requirements)

2.7.CNS 27001(資訊技術—安全技術—資訊安全管理系統—要求事項)

2.8.ISO/IEC 27002(Information technology—Security techniques—Code of ractice for information security management)

３、名詞解釋

3.1.機密性(Confidentiality)：確保只有經過授權的人才能存取資訊資產。

3.2.完整性(Integrity)：確保資訊資產的完整性(Completeness)及其處理方法的準確性。

3.3.可用性(Availability)：確保授權的使用者在需要時，可以使用資訊資產。

3.4.適法性(Legality)：符合國家相關法令規範。

3.5.資訊機房：局本部六樓資訊電腦機房。

４、範圍

臺中市政府消防局暨所屬單位資訊安全管理制度適用於本機關暨所屬單位所有業務，包含全體員工、與本機關業務往來之外部機關、對本機關提供服務或勞務之廠商及訪客。

５、組織

為統籌資訊安全管理等事項之規劃、執行、稽核及矯正活動，應建立資訊安全推動組織，並依資訊安全管理組織程序書辦理。

６、資通安全政策

為使本局業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循。

6.1.應建立資通安全風險管理機制，定期因應內外在資通安全情勢變化，檢討資通安全風險管理之有效性。

6.2.建立電腦機房實體及環境安全防護措施，並定期實施相關保養。

6.3.應保護本局所提供軟硬體系統機敏資訊及資通系統之機密性與完整性，避免未經授權存取與竄改。

6.4.建置新資訊系統前，應將資訊安全納入考量因素，防範發生危害系統安全之情況。

6.5.因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本局同仁之資通安全意識，本局同仁亦應確實參與訓練。

6.6.確保本局資通系統安全，防範資安攻擊事件發生。

6.7.應強固核心資通系統之韌性，確保本局業務持續營運，以達成永續發展目標。

6.8.訂定資訊安全內部稽核計畫，定期執行內部稽核活動。

6.9.人員違反資訊安全相關規定，應依本機關相關規定及其他法規處理。若第三方人員違反資訊安全相關規定，則依資通安全事項之獎懲機制及雙方簽訂之合約處理。

6.10.對於個人資料之蒐集、處理及利用，將依相關法令之規定，僅就其特定目的之用，不會恣意對其他第三者揭露。

6.11.各項資通安全管理規定必須遵守政府相關法規(如：資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）之規定。

７、實施內容

相關單位及人員應就下列事項訂定相關管理規範或實施計畫，並定期評估實施成效(量測指標)，實施程序參見資訊安全實施程序書。

８、資通安全政策之宣導與檢討

8.1.本局之資通安全政策、需求及目標，應每年透過教育訓練、會議、張貼公告、利用媒體、函文、網頁、電子郵件及文宣等方式，向本局內所有人員進行宣導，並檢視執行成效。

8.2.本局應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資通安全政策宣導、關注議題討論、溝通並檢視執行成效。

8.3.本資通安全政策由資通安全長核定，每年於資通安全管理審查會議中檢討其適切性，應至少評估一次，以反映政府機關各項安全政策、法令、技術及業務之最新狀況， 確保安全實務作業之可行性及有效性。