Trustworthiness
Competitive
Advantages
High Growth Potential
Application
of Professionalism

資訊安全政策及管理方案

資訊安全政策

  1. 目的
    • 為維護本公司之永續經營,確實遵循相關政令法規,並保護本公司資訊資產免於外在威脅,或避免內部人員不當管理與使用,致遭受竄改、揭露、破壞或遺失等風險,以確保資訊資產之機密性、完整性、可用性與個人資料保護之要求,本公司已於民國102年訂定資訊安全政策作為資訊安全管理之最高指導原則與遵循依據,以強化資訊安全管理制度,有效地降低本公司營運風險。
  2. 適用範圍
    • 凡集團內所有公司之全體同仁、客戶、委外或合作廠商、第三方人員以及所有相關資訊資產之安全管理,應依資訊安全政策處理。
  3. 定義
    1. 資訊安全 : 避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織和軟硬體功能等,以保護公司資訊資產與個人資料之安全;並符合鑑別性、可歸責性、不可否認性及可靠度等性質。
    2. 資訊資產 : 凡本公司人員、文件、電子文件、服務設施、網路設施、通訊設施、軟體、硬體、媒體、建築保護設施等皆屬之。
    3. 機密性 : 確保只有獲得授權的人員及程式才能存取資訊。
    4. 完整性 : 確保資訊與處理方式精確性及完整性。
    5. 可用性 : 確保獲得授權的使用者在需要時可以用相關資訊資產。
    6. 個人資料 : 由政令法規所規範之應保護個人資料。
  4. 組織與權責
    1. 資訊安全委員會 : 由執行長擔任主席(召集人),資訊單位最高主管兼任資訊安全長(Chief Information Security Officer)暨執行秘書,統合業務、資訊、稽核、法務、風險控管及人事等單位之最高主管組成資訊安全委員會,進行資訊安全相關事務之決策與管理。
    2. 資訊安全組織 : 由資訊安全委員會指揮資訊安全管理、稽核、法務、風險控管、推廣訓練等小組,執行資訊安全相關政策及作業之管理與實施。
  5. 作業內容
    1. 依據 ISO27001資訊安全管理國際標準規範,將本公司資訊安全管理分為資訊安全政策、資訊安全的組織、資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統獲取開發及維護、資訊安全事故管理、營運持續管理及遵循性等十一個領域。
    2. 依據本公司所頒佈之各項管理辦法及程序規範,作為資訊安全管理執行方針與程序,包括:管理規章、電腦作業內部制度、資產管理辦法、電腦設施管理辦法、檔案管理辦法、職務授權及代理人辦法、離職手續管理辦法、識別證管理辦法、電腦機房管理辦法、網際網路暨電子郵件管理辦法、電腦權限管理辦法、客戶供應商B2B系統使用規格、應用系統開發管理辦法、應用系統資料異動說明書、緊急通報管理辦法、資安事件應變及通報作業程序、電腦主機復原辦法、管理制度審查程序書、文件管理程序書、矯正與預防程序書、個人資料檔案安全維護辦法等。
    3. 資訊安全管理措施說明如下:
      • 制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
      • 系統防護:建置各式資安防護系統,以提昇整體資訊環境之安全性。
      • 人員訓練:不定期實施資訊安全機會宣導,藉以提昇公司同仁資安知識與專業技能。
  1. 作業循環
    1. 規劃(Plan) : 建立資訊安全管理制度,擬定風險管理及持續營運計畫。
    2. 執行(Do) : 建立管理文件體系,執行管理程序並實施教育訓練及宣導。
    3. 查核(Check) : 執行監控程序,定期實施稽核、風險及績效評估。
    4. 行動(Act) : 定義改善需求,執行改善作業,報告執行結果,持續追蹤改善。
  1. 作業原則
    1. 每年執行乙次以上,以反應政令法規、技術及業務等最新發展現況,以確保資訊實務作業確實遵守資通安全政策,和確保作業之可行性及有效性,以確保本公司提供資訊服務之能力。
    2. 每年執行乙次以上資訊安全稽核。
    3. 每年執行乙次以上營運持續計畫之測試及檢核。
    4. 確保資訊資產受適當保護,防止未經授權或因作業疏忽對資產所造成之損害。
    5. 確保所有資通安全事件或可疑之安全弱點,皆依通報程序反應,並予以適當調查及處理。
    6. 確保本公司資通安全管理制度運作持續正常。
  2. 宣導與實施
    • 為確保資訊安全政策確實落實,應定期實施資訊安全制度及作業之宣導與教育訓練。

更新時間:2020年05月19日