行政院農業委員會漁業署及所屬機關及為了達到下列之營運與管理目標，訂定本政策。

一、核心業務之資訊化作業得以持續不間斷運作，維持內部制度管理之有效性，提升對社會公眾之資訊服務品質。

二、確保所蒐集、處理與利用之所有資訊的機密性、完整性與正確性。

三、有關蒐集、處理與利用之個人資訊業務流程，符合「個人資料保護法」暨「個人資料保護法施行細則」的要求。

壹、適用範圍

一、管理制度

本政策適用於資訊安全管理制度與個人資料保護管理制度。

二、組織單位

(一)資訊安全管理制度

本署各組（室）全體人員、業務往來單位、委外服務廠商、訪客及使用本署資訊服務之使用者等。

(二)個人資料保護管理制度

本署各組（室）所掌理之事務、業務往來單位所負責之業務及委外服務廠商受本署委託之事項，有涉及個人資料之蒐集、處理或利用者。

貳、政策要求

一、落實相關法令之遵循，包括資通安全管理法暨其施行細則、各子法、智慧財產權保護法、個人資料保護法、行政院及所屬各機關資訊安全管理要點與規範等相關法規及與外部單位簽訂之協議、契約。

二、本署積極推動管理制度相關事項之計畫、執行、稽核與溝通協調，並積極辦理資訊安全與個人資料保護之教育訓練及宣導，以確保人員熟悉業務執行所負之安全責任。

三、員工業務持有之資訊資產以公有公用為原則，依需求規劃進行分類分級，並進行業務需求考量之風險評估，達到有效之控管；資訊化作業依業務執行之實際需求，規劃營運持續管理，以確保資訊化作業之可用性。

四、實體辦公環境及重要資訊設備機房均進行出入管制，並持續監控以維持環境之安全。

五、資訊設備及系統以採行強化之技術防護管理為原則，以職務劃分及最小需求之原則進行存取權限管理，以防止系統遭受不當存取、異動、損害或網路攻擊。

六、應採用適當之密碼或金鑰控制措施，以確保資訊資產之使用符合資訊安全要求。

七、為防範電腦病毒及惡意軟體影響作業，除經合法授權之系統及應用軟體外，禁止使用其他非授權軟體。

八、資訊業務委外服務，應於事前考量資訊安全需求，明訂供應商之資訊安全責任及保密規定，列入契約並要求供應商遵守，本署保留稽核權力。

九、對於個人資訊保護，必須符合下列要求：

(一)僅得於特定目的之必要範圍內，合法蒐集、處理及利用個人資料。

(二)應確保個人資料內容之正確性及最新性。

(三)應尊重當事人就其個人資料所得行使之權利。

(四)應保護個人資料檔案之安全。

參、責任

一、管理階層應積極參與及支持管理制度，並透過適當的標準和程序以實施本政策。

二、本署全體人員、委外服務廠商與訪客等皆應遵守本政策。

三、本署全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。

四、任何危及資訊安全與個人資訊保護之行為，將視情節輕重追究其民事、刑事及行政責任或依本署之相關規定進行議處。