資訊安全政策
一、政策目的:
鑑於資訊安全乃維繫各項服務安全運作之基礎,特訂定本政策,宣示本公司提供安全無虞之服務的決心與承諾,並作為本公司資訊安全工作之指導方針,以保護本公司資訊機房設備、網路及核心資通系統之安全,以避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情事,影響本公司作業或損及員工權益。
二、政策目標:
本公司資訊安全目標為:建置符合國際標準所要求之資訊安全管理系統(information security management system,以下簡稱isms),確保各項服務符合機密性(confidentiality)、完整性(integrity)、可用性(availability)與適法性(compliance)之要求,並依各階層與職能定義及量測資訊安全績效之量化指標,以確認isms實施狀況及是否達成資訊安全目標。
三、組織與權責
為確保資訊安全管理系統能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。
四、適用範圍
本資訊安全管理系統考量內部及外部議題、關注方之需要與期望,以及本公司活動與其他組織活動間之介面及相依性,適用範圍為本公司isms所涵蓋範圍內皆適用之。
資訊安全管理系統包括內容如下,有關單位及人員就下列事項,應訂定對應之管理規範或實施計畫,並據以實施及定期評估實施成效:
1.資訊安全組織與管理審查
2.風險管理
3.文件與記錄管理
4.資訊安全內部稽核
5.人力資源安全管理
6.資產管理
7.存取控制管理
8.實體與環境安全管理
9.運作安全與密碼學技術管理
10.通訊安全管理
11.系統獲取、發展與維護管理
12.供應商關係管理
13.資訊安全事故管理
14.營運持續管理
15.遵循性管理
五、實施原則:
資訊安全管理系統之實施應依據規劃(plan)、執行(do)、查核(check)及調整(act)流程模式,以週而復始、循序漸進的精神,確保資訊業務運作之有效性及持續性。
六、審查與評估:
1.本文件應至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部門等最新發
展現況,確保資訊安全實務作業之有效性。
2.本文件應依據審查結果進行修訂,並經本公司負責人簽核發佈後始生效。
3.本文件訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知利害關係人,如:
所屬員工、契約客戶、供應商、合作夥伴等。
