資訊安全政策

為強化資訊安全管理,建置符合國際標準之資訊安全管理系統(Information Security Management System, ISMS),2020年導入ISO 27001管理系統認證,並於2021年通過驗證,確保公司營運核心的資訊系統及資訊機房管理符合國際資訊安全管理標準,免於因內、外部的各項風險衝擊,確保所屬之資訊資產的機密性、完整性及可用性,由最高管理階層擬定本政策,藉有效的系統運作,以提供本公司之業務持續運作環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。

資訊安全職責與政策

為統籌資訊安全管理等事項之協調及推動,依據【資訊安全組織管理程序】成立【資訊安全委員會】,配賦有關單位及人員權責;資訊單位為強化資訊安全管理、增進人員及合作廠商對資訊安全之認知,並確保資料、系統、設備與網路安全;任何蓄意違反資訊安全的行為將受到相關規範或法律責任。

  • 資訊安全管理政策:
    • 依營運要求及相關法律與法規,提供資訊安全之管理指導方針。
    • 資訊安全政策由管理階層制定並核准,且對內部及相關外部發佈。
    • 資訊安全政策應定期或有重大變更時審查,以確保合宜、適切及有效性。
  • 資訊安全之組織:
    • 建立管理框架,於組織內導入及控制資訊安全之運作。
    • 確保遠距工作及使用行動裝置之安全。
  • 人力資源安全管理:
    • 確保員工及承包者瞭解其將承擔之責任及適任其角色並履行其資訊安全責任。
    • 將保護組織利益納入聘用、變更或終止聘用過程之一部分。資訊安全受訓時數。
    • 定期辦理資訊安全教育訓練,推廣員工資安意識與管理能力。
  • 資產管理:
    • 識別組織之資訊資產並定義適切之保護責任。
    • 確保所有資產依其對組織之重要性,受到適切等級的保護。
    • 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
  • 存取控制:
    • 限制對資訊及資訊處理設施之存取。
    • 確保授權使用者得以存取,並避免系統及服務未經授權存取。
    • 要求使用者對保全其身分識別資訊負責,防止系統及應用遭未經授權存取。
  • 密碼保全:
    • 確保密碼的適當與有效使用,以保護資訊的機密性、鑑別性與/完整性。
  • 實體及環境安全:
    • 防止資訊組織資訊及資訊處理設施遭未經授權之存取、損害及干擾。
    • 防止資訊資產之遺失、損害、遭竊或破解,確保組織運作正常。
  • 運作安全:
    • 確保資訊處理設施之正確及安全操作
    • 確保資訊及資訊處理設施,防範惡意軟體及資料漏失。
    • 紀錄事件即時產生證據。
    • 確保運作中系統之完整性。
    • 防範對技術脆弱性之利用。
    • 使稽核活動對運作中系統之衝擊降至最低。
  • 通訊安全:
    • 確保對網路設備及其支援之資訊處理設施中資訊之保護。
    • 保護組織內及與任何外部個體所傳送資訊之安全。
  • 系統獲取、開發及維護:
    • 確保資訊安全係跨越整個生命週期之整體資訊系統的一部分。此亦包括經由公共網路提供服務之資訊系統的要求事項。
    • 確保於資訊系統之開發生命週期內,設計及實作資訊安全。
    • 確保測試用資料之保護。
  • 供應商/者關係
    • 確保對供應商/者可存取之組織資產的保護。
    • 維持資訊安全及服務交付之議定等級與供應商/者協議一致。
  • 資訊安全事故管理:
    • 防止發生資安事件影響營運。
    • 資訊安全通報系統建立,資安事件及弱點之傳達。
    • 資訊安全事件紀錄的有效維持,透過資訊安全事件,來進行員工的機會教育。
  • 業務持續營運管理:
    • 確保資訊處理設施之可用性,檢討營運持續計畫演練執行情形。
    • 執行風險評鑑與營運衝擊分析。
    • 保護本司業務活動資訊,避免未經授權的修改,確保其正確完整。
    • 建立資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本司具備可供業務持續運作之資訊環境。
  • 相關法規遵循性:
    • 本司之業務活動執行須符合相關法令或法規之要求避免違反資訊安全相關之法律、法令、法規或契約義務,以及任何安全要求事項。
    • 確保依組織的政策及程序,實作及運作資訊安全。

資訊安全管理目標

確保重要資訊及服務之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與遵循性(Compliance), 依【資訊安全績效管理程序】規劃定義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

適用性聲明書

依據「ISO 27001資訊安全管理系統-要求」要求制定「適用性聲明管理程序」,確認資訊安全管理各項控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,ISMS資安委員會將重新定義控制措施之適用性。

審查

本政策依據「資訊安全管理審查程序」每年至少審查乙次,以反映政府法令、技術及業務 等最新發展現況,以確保本公司營運持續及資訊安全實務作業能力;審查後若需對資訊安全政策進行制(修)訂時,依照「文件化資訊管理程序」規定辦理。

實施

資訊安全政策經管理審查會議核定後,發佈各單位實施,修訂時亦同。