資訊安全政策及目標

資訊安全政策及目標

強化人員認知:辦理資訊安全教育訓練,推廣員工資訊安全意識與強化相關責任之認知。
避免資料外洩:保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
落實日常維運:每年定期進行稽核作業,確保相關規定皆能落實執行。
確保服務可用:確保本公司關鍵核心業務維持一定水準的系統可用性。

針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間、評估方式與執行結果,相關監督與量測程序,應遵循本公司「監督與量測管理程序書」辦理。資訊安全執行小組應於管理審查會議中,針對資訊安全目標有效性量測結果,向資訊安全委員會召集人進行報告。

 

責任

本公司的管理階層應建立及審查此政策。

資訊安全執行小組透過標準和程序以實施此政策。

所有人員和委外服務供應商,均需依照相關安全管理程序,以維護本政策。

所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。

任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。

 

審查

資訊安全政策每年應配合管理審查會議進行審查,以反映政府法令、技術及業務等最新發展現況,以確保本公司永續運作及資訊安全實務作業能力。

 

實施

任何機關單位因業務需求,取得本公司機敏性資訊或個人資料時,應負起資料保密責任並妥善運用,並遵守國家相關法令及本公司相關資訊安全規定。

若因機關單位疏失造成資料外洩或資安事件,應負相關法律責任。

 

資訊安全委員會架構

 

資訊安全委員會:

為任務編組方式組成,資訊安全長擔任召集人由本公司資訊部部門主管擔任,如因職務調動應即刻指派遞補人員與辦理交接。

每年定期或視需要召開會議,審查資訊安全管理相關事宜。

視需要召開跨部門之協調會議,負責協調資訊安全管理制度執行所需之相關資源分配

 

資訊安全執行小組:

資訊安全委員會指派人員組成,負責規劃及執行各項資訊安全作業。

 

緊急處理小組:

由公司各關鍵業務流程負責人組成。

 

資訊安全稽核小組:

由資訊安全委員會指派,負責評估資訊安全管理制度之執行情形。

 

資訊安全控制措施

訂定資訊資產分類、分級、價值評估、標示及處理之遵循原則,並據以辦理各項資訊資產管理及

作業方法。用以保護各類資訊資產,避免因人為疏失、蓄意或自然災害等風險所造成之傷害

提供本公司資訊流程之權責單位、保管單位,以及使用單位,共同遵行之風險評鑑標準,有效執行風險控管,預防資訊安全事件之威脅。

辦理全體同仁之安全管理及教育訓練,減少人員因資訊安全認知不足所引發之資訊安全事件。

為確保相關設施之安全,非權責單位指定之人員不得擅自進入電腦機房或使用相關資訊設備。

建立資訊系統之安全控管機制,以確保資訊資料之安全,保護系統及網路作業,防止未經授權之系統存取。

資訊資產之存取應與本身業務相關之範圍為主,任何人未經授權不得存取業務範圍外之資訊資產。

採行安全的系統發展生命週期(SSDLC),作為本公司各項軟體系統開發作業的策略。

委外供應商處理個人資料應遵守『個人資料保護法』及本公司之相關規定,並簽訂「保密切結書」。

建立獨立稽核之規範,以判斷各項作業的控制目標、措施、流程及程序是否符合法規及本公司之資訊安全要求。

針對本公司資訊安全管理系統運作過程中發生之缺失及潛在之風險,採取相關的矯正及持續改善措施,以防止類似事件發生,進而達成持續改善之目標。

評估資訊安全績效及資訊安全管理系統之有效性,以確保資訊安全目標的符合性與適切性。

 

111年資訊安全措施執行情況:

資訊安全政策及目標在內部向所有員工提供及宣導,並揭露於公司官網對外宣導。

本公司 111年未有重大資安事件之發生。

111年4月份辦理全體同仁之資訊安全宣導教育訓練。

加入TWCERT台灣電腦網路危機處理暨協調中心

111年7月5日取得ISO/IEC 27001:2013證書,此證書的有效期自2022年07月05日至2025年07月05日且其有效性應繫於持續符合的定期稽核。