資訊安全政策
一、資通安全管理
(一) 資通安全風險管理架構
公司設有資安中心,包含1位資訊安全主管,負責制定資安策略及督導,確保符合法規並向
高層報告資安狀況。
下轄資安負責人員2位,負責監控系統安全,並推動資安教育訓練、事件應變處理,確保內部資安政策符合法規。
(二) 資通安全政策:
1. 政策目的:
鑑於資訊安全乃維繫各項服務安全運作之基礎,特訂定本政策,宣示本公司提供安全無虞之服務的決心與承諾, 並作為本公司資訊安全工作之指導方針,以保護本公司資訊機房設備、網路及核心資通系統之安全,以避免當發 生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情事,影響本公司作業或 損及員工權益。
2. 政策目標:
本公司資訊安全目標為:建置符合國際標準所要求之資訊安全管理系統(information
security management system,以下簡稱isms),確保各項服務符合機密性(confidentiality)、
完整性(integrity)、可用性(availability)與適法性(compliance)之要求,並依各階層與職能
定義及量測資訊安全績效之量化指標,以確認isms實施狀況及是否達成資訊安全目
標。
3. 組織與權責:
為確保資訊安全管理系統能有效運作,應明定資訊安全組織及權責,以推動及維持各
類管理、執行與查核等工作之進行。
4. 適用範圍:
本資訊安全管理系統考量內部及外部議題、關注方之需要與期望,以及本公司活動
與其他組織活動間之介面及相依性,適用範圍為本公司isms所涵蓋範圍內皆適用之。
資訊安全管理系統包括內容如下,有關單位及人員就下列事項,應訂定對應之管理規範或實施計畫,並據以實施及定期評估實施成效:
(1)資訊安全組織與管理審查
(2)風險管理
(3)文件與記錄管理
(4)資訊安全內部稽核
(5)人力資源安全管理
(6)資產管理
(7)存取控制管理
(8)實體與環境安全管理
(9)運作安全與密碼學技術管理
(10)通訊安全管理
(11)系統獲取、發展與維護管理
(12)供應商關係管理
(13)資訊安全事故管理
(14)營運持續管理
(15)遵循性管理
5. 實施原則:
資訊安全管理系統之實施應依據規劃(plan)、執行(do)、查核(check)及調整(act)流程模式,以週而復始、循序漸進的精神,確保資訊業務運作之有效性及持續性。
6. 審查與評估:
(1)上述政策應至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部
門等最新發展現況,確保資訊安全實務作業之有效性。
(2)上述政策應依據審查結果進行修訂,並經本公司負責人簽核發佈後始生效。
(3)上述政策 訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知利
害關係人,如: 所屬員工、契約客戶、供應商、合作夥伴等。
(三) 具體管理方案及投入資源
1.資安政策與管理辦法
1-1資訊安全政策
1-2資訊分類與存取控制辦法
1-3系統開發與變更管理流程
1-4資訊安全緊急應變計畫
2.資安控管措施
2-1防火牆、入侵偵測/防禦系統
2-2帳號權限控管與多重身分驗證
2-3系統與資料備份策略
3.資安教育訓練與演練
3-1新進員工進行資安意識訓練
3-2每年定期對員工進行資安宣導
3-3 資安事故應變計畫的演練
4. 資安稽核與風險評估
4-1定期進行內部與外部資安稽核
5. 投入資通安全管理之資源:
建置包括網路防火牆、入侵防禦系統、垃圾郵件過濾、郵件持續進階威脅防護、上網行為管理、防毒系統、資訊安全事件管理與端點防護等系統,以提升資訊安全。
(四) 最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應
措施:
最近年度及截至年報刊印日止,本公司未有因重大資通安全事件對財務業務造成損失
之重大影響。
