資訊安全政策及目標
資訊安全政策及目標
強化人員認知:辦理資訊安全教育訓練,推廣員工資訊安全意識與強化相關責任之認知。
避免資料外洩:保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
落實日常維運:每年定期進行稽核作業,確保相關規定皆能落實執行。
確保服務可用:確保本公司關鍵核心業務維持一定水準的系統可用性。
針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間、評估方式與執行結果,相關監督與量測程序,應遵循本公司「監督與量測管理程序書」辦理。資訊安全執行小組應於管理審查會議中,針對資訊安全目標有效性量測結果,向資訊安全委員會召集人進行報告。
責任
本公司的管理階層應建立及審查此政策。
資訊安全執行小組透過標準和程序以實施此政策。
所有人員和委外服務供應商,均需依照相關安全管理程序,以維護本政策。
所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。
審查
資訊安全政策每年應配合管理審查會議進行審查,以反映政府法令、技術及業務等最新發展現況,以確保本公司永續運作及資訊安全實務作業能力。
實施
任何機關單位因業務需求,取得本公司機敏性資訊或個人資料時,應負起資料保密責任並妥善運用,並遵守國家相關法令及本公司相關資訊安全規定。
若因機關單位疏失造成資料外洩或資安事件,應負相關法律責任。
資訊安全委員會架構
資訊安全委員會:
為任務編組方式組成,資訊安全長擔任召集人由本公司資訊部部門主管擔任,如因職務調動應即刻指派遞補人員與辦理交接。
每年定期或視需要召開會議,審查資訊安全管理相關事宜。
視需要召開跨部門之協調會議,負責協調資訊安全管理制度執行所需之相關資源分配
資訊安全執行小組:
資訊安全委員會指派人員組成,負責規劃及執行各項資訊安全作業。
緊急處理小組:
由公司各關鍵業務流程負責人組成。
資訊安全稽核小組:
由資訊安全委員會指派,負責評估資訊安全管理制度之執行情形。
資訊安全控制措施
訂定資訊資產分類、分級、價值評估、標示及處理之遵循原則,並據以辦理各項資訊資產管理及
作業方法。用以保護各類資訊資產,避免因人為疏失、蓄意或自然災害等風險所造成之傷害
提供本公司資訊流程之權責單位、保管單位,以及使用單位,共同遵行之風險評鑑標準,有效執行風險控管,預防資訊安全事件之威脅。
辦理全體同仁之安全管理及教育訓練,減少人員因資訊安全認知不足所引發之資訊安全事件。
為確保相關設施之安全,非權責單位指定之人員不得擅自進入電腦機房或使用相關資訊設備。
建立資訊系統之安全控管機制,以確保資訊資料之安全,保護系統及網路作業,防止未經授權之系統存取。
資訊資產之存取應與本身業務相關之範圍為主,任何人未經授權不得存取業務範圍外之資訊資產。
採行安全的系統發展生命週期(SSDLC),作為本公司各項軟體系統開發作業的策略。
委外供應商處理個人資料應遵守『個人資料保護法』及本公司之相關規定,並簽訂「保密切結書」。
建立獨立稽核之規範,以判斷各項作業的控制目標、措施、流程及程序是否符合法規及本公司之資訊安全要求。
針對本公司資訊安全管理系統運作過程中發生之缺失及潛在之風險,採取相關的矯正及持續改善措施,以防止類似事件發生,進而達成持續改善之目標。
評估資訊安全績效及資訊安全管理系統之有效性,以確保資訊安全目標的符合性與適切性。
111年資訊安全措施執行情況:
資訊安全政策及目標在內部向所有員工提供及宣導,並揭露於公司官網對外宣導。
本公司 111年未有重大資安事件之發生。
111年4月份辦理全體同仁之資訊安全宣導教育訓練。
加入TWCERT台灣電腦網路危機處理暨協調中心
111年7月5日取得ISO/IEC 27001:2013證書,此證書的有效期自2022年07月05日至2025年07月05日且其有效性應繫於持續符合的定期稽核。