資通安全政策
1 目的
為維護本公司資訊與通訊中心及其核心業務相關資訊資產(資訊資產包括資料、系統、設備等)之安全,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,確保本公司資訊處理作業能安全有效地運作,特制訂資訊安全政策(以下簡稱本政策)以為遵循。
2 依據
本政策係依據CNS27001:2013國家標準等資訊安全規定,並參酌其他資訊安全相關之國際標準如 ISO/IEC27001:2013等有關法令與規定,考量本公司資訊業務需求訂定。
3 政策聲明
『健全資訊安全架構,提供安全效率的服務』
3.1 加強內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護。
3.2 適當保護資訊資產之機密性與完整性。
3.3 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
3.4 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當通報機制向上反應,予以適當調查及處理。
3.5 經由教育訓練及發佈之資訊安全程序、辦法,使得核心之業務人員、相關單位配合人員及網路應用之使用者,皆能充份遵循本政策及措施。
3.6 符合各種法律規章之要求。
4 資訊安全目標
為使本公司資訊資產受到適當之保護,並維持本公司業務運作之有效性及持續性,資訊安全目標如下:
4.1 定量化目標包括:
4.1.1 確保機房內核心系統服務達到全年95% 以上之可用性。
4.1.2 資訊安全事件每年發生率低於五次。
4.2 定性化目標包括:
4.2.1 適用人員
所有本公司資訊所有人員、維護廠商、業務往來者,只要涉及任何資訊安全管理系統所涵蓋的範圍,都有責任來實施或配合這個政策。
4.2.2 適用範圍
資訊安全管理系統適用於本公司的作業活動,其範圍包括:
4.2.2.1 資訊中心擁有及託管於本中心之各種資訊資產及資料。
4.2.2.2 資訊中心之辨公處所、建築、機房設備及網路之設備。
4.2.2.3 執行作業之人員、系統、手冊、工具、基礎建設。
4.2.3 責任劃分
4.2.3.1 本公司資訊中心所有同仁應積極參與資訊安全管理系統活動,提供對資訊安全管理系統之支持。
4.2.3.2 資訊安全負責人負責本資訊安全政策之維護與落實。
4.2.3.3 資訊安全小組應提供明確之指示,適時修訂本政策,以確保本政策符合現行需求。
4.2.3.4 本公司應透過適當程序落實本政策之要求。
4.2.3.5 本公司高階主管應積極參與資訊安全管理制度(ISMS)活動,提供對ISMS之支持及承諾,並適時覆核本政策。
4.2.3.6 本公司所有人員都有責任透過適當通報機制,通報所發現之資訊安全意外事故或可疑之資訊安全弱點。
4.2.4 資訊安全政策之遵循
本公司資訊中心所有員工、簽約廠商、委外廠商未遵循本政策或相關資訊安全規定,或行使其他任何危及本公司資訊安全之行為,都將訴諸適當之懲罰程序或法律行動;對於資訊安全法令或客戶技術提供改進意見,經執行確具成效者,應依本公司之人事考核規定給予適當獎勵。
4.2.5 修訂
本政策應至少每年評估一次,以符合政府法令及客戶之要求,並反映資訊科技發展趨勢,確保本公司資訊安全管理作業之有效性。