資訊安全
一、資訊安全目標:
- 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
- 確保本公司資訊作業管理之完整,避免未經授權之修改。
- 確保本公司資訊作業之持續運作。
- 確保本公司資訊作業均符合相關法令規定要求。
二、資訊安全控制措施:
- 管理階層承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
- 鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
- 定期進行資訊資產分類與風險評鑑。
- 資訊安全管理制度文件應適時更新,紀錄之保護應有明確管理機制。
- 定期檢測資訊安全指標,以維持資訊安全管理制度及管控程序實施之有效性。
- 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。
- 工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。
- 採用行動裝置安全措施,以管理使用行動裝置所導致之風險。
- 於資訊作業專案管理中納入資訊安全相關議題。
- 對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客有存取本公司資訊資產之需求時,應進行必要之審核及告知應遵守之資訊安全規範;該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。
- 本公司全體員工皆有責任及義務保護其擁有、保管或使用之資訊資產。
- 確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。
- 落實通訊安全管理。
- 資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。
- 依業務需求訂定資訊作業持續營運計畫,並定期測試演練。
- 隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範虞慮之情事,並依程序進行通報。
三、滿足適用要求事項之承諾:
本政策應每年至少評估 1 次,或於重大環境變更時執行評估變更,以反映政府法令、資訊技術及公司業務等最新發展狀況,確保資訊安全實務作業之有效性。
四、持續改善資訊安全管理系統之承諾 :
資訊安全管理委員會應每年定期審查資訊安全管理制度之有效性,包含下列項目:
- 過往管理審查之議案的處理狀態。
- 與資訊安全管理系統有關之內部及外部議題的變更。
- 資訊安全績效之回饋,包括下列之趨勢:
- 不符合項目及矯正措施。
- 監督及量測結果。
- 稽核結果。
- 資訊安全目標之達成。
- 關注方之回饋。
- 風險評鑑結果及風險處理計畫之狀態。
- 持續改善之機會。
發行版次:V01
發行日期:2023/5/19