Innovations
Everlasting
Business Operation
Cooperated
Social Responsibility
Appreciation
to the Society

信息安全政策

信息安全政策

  1. 目的
    • 为维护本公司之永续经营,确实遵循相关政令法规,并保护本公司信息资产免于外在威胁,或避免内部人员不当管理与使用,致遭受窜改、揭露、破坏或遗失等风险,以确保信息资产之机密性、完整性、可用性与个人资料保护之要求,本公司已于民国102年订定信息安全政策作为信息安全管理之最高指导原则与遵循依据,以强化信息安全管理制度,有效地降低本公司营运风险。
  2. 适用范围
    • 凡集团内所有公司之全体同仁、客户、委外或合作厂商、第三方人员以及所有相关信息资产之安全管理,应依信息安全政策处理。
  3. 定义
    1. 信息安全 : 避免因人为疏失、蓄意或自然灾害等风险,运用系统化之控制措施,包含政策、实施、稽核、组织和软硬件功能等,以保护公司信息资产与个人资料之安全;并符合鉴别性、可归责性、不可否认性及可靠度等性质。
    2. 信息资产 : 凡本公司人员、文件、电子文件、服务设施、网络设施、通讯设施、软件、硬件、媒体、建筑保护设施等皆属之。
    3. 机密性 : 确保只有获得授权的人员及程序才能存取信息。
    4. 完整性 : 确保信息与处理方式精确性及完整性。
    5. 可用性 : 确保获得授权的使用者在需要时可以用相关信息资产。
    6. 个人资料 : 由政令法规所规范之应保护个人资料。
  4. 组织与权责
    1. 信息安全委员会 : 由执行长担任主席(召集人),信息单位最高主管兼任信息安全长(Chief Information Security Officer)暨执行秘书,统合业务、信息、稽核、法务、风险控管及人事等单位之最高主管组成信息安全委员会,进行信息安全相关事务之决策与管理。
    2. 信息安全组织 : 由信息安全委员会指挥信息安全管理、稽核、法务、风险控管、推广训练等小组,执行信息安全相关政策及作业之管理与实施。
  5. 作业内容
    1. 依据 ISO27001信息安全管理国际标准规范,将本公司信息安全管理分为信息安全政策、信息安全的组织、资产管理、人力资源安全、实体与环境安全、通讯与作业管理、访问控制、信息系统获取开发及维护、信息安全事故管理、营运持续管理及遵循性等十一个领域。
    2. 依据本公司所颁布之各项管理办法及程序规范,作为信息安全管理执行方针与程序,包括:管理规章、计算机作业内部制度、资产管理办法、计算机设施管理办法、档案管理办法、职务授权及代理人办法、离职手续管理办法、识别证管理办法、计算机机房管理办法、因特网暨电子邮件管理办法、计算机权限管理办法、客户供货商B2B系统使用规格、应用系统开发管理办法、应用系统数据异动说明书、紧急通报管理办法、资安事件应变及通报作业程序、计算机主机复原办法、管理制度审查程序书、文件管理程序书、矫正与预防程序书、个人资料档案安全维护办法等。
    3. 信息安全管理措施说明如下:
      • 制度规范:订定公司信息安全管理制度,规范人员作业行为。
      • 系统防护:建置各式资安防护系统,以提升整体信息环境之安全性。
      • 人员训练:不定期实施信息安全机会倡导,藉以提升公司同仁资安知识与专业技能。
  1. 作业循环
    1. 规划(Plan) : 建立信息安全管理制度,拟定风险管理及持续营运计划。
    2. 执行(Do) : 建立管理文件体系,执行管理程序并实施教育训练及倡导。
    3. 查核(Check) : 执行监控程序,定期实施稽核、风险及绩效评估。
    4. 行动(Act) : 定义改善需求,执行改善作业,报告执行结果,持续追踪改善。
  1. 作业原则
    1. 每年执行乙次以上,以反应政令法规、技术及业务等最新发展现况,以确保信息实务作业确实遵守资通安全政策,和确保作业之可行性及有效性,以确保本公司提供信息服务之能力。
    2. 每年执行乙次以上信息安全稽核。
    3. 每年执行乙次以上营运持续计划之测试及检核。
    4. 确保信息资产受适当保护,防止未经授权或因作业疏忽对资产所造成之损害。
    5. 确保所有资通安全事件或可疑之安全弱点,皆依通报程序反应,并予以适当调查及处理。
    6. 确保本公司资通安全管理制度运作持续正常。
  2. 倡导与实施
    • 为确保信息安全政策确实落实,应定期实施信息安全制度及作业之倡导与教育训练。

更新时间:2020年05月19日