资讯安全政策
为了促使本公司各项资讯安全管理制度能贯彻执行、有效运作、监督管理、持续进行,维护本公司重要资讯系统的机密性、完整性与可用性,特颁布此一资讯安全政策。本政策旨在让同仁于日常工作时有一明确指导原则,所有同仁均有义务积极参与推动资讯安全政策,以确保本公司之资料、资讯系统、设备及网路之安全维运,并期许全体同仁均能了解、实施与维持,以达资讯持续营运的目标。
「落实资讯安全,强化服务品质」;
「加强风险管理,确保持续营运」。
落实资讯安全,强化服务品质
由全体同仁贯彻执行资讯安全管理制度,所有资讯作业相关措施,应确保业务资料之机密性、完整性及可用性,免于因外在之威胁或内部人员不当的管理,遭受泄密、破坏或遗失等风险,选择适切的保护措施,将风险降至可接受程度持续进行监控、审查及稽核资讯安全制度的工作,强化服务品质,提升服务水准。
加强风险管理,确保持续营运
督导全体同仁落实资讯安全管理工作,持续进行适当的资讯安全教育训练,建立「资讯安全,人人有责」的观念,促使同仁了解资讯安全之重要性,促其遵守资讯安全规定,借此提高资讯安全智能及紧急应变能力,降低资安风险,达持续营运之目标。
资讯安全管理制度
本公司资讯安全管理制度(ISMS)沿用国际标准组织所订定之持续改善PDCA循环流程管理模式,整合及强化资讯安全管理体系,建立制度化、文件化及系统化之管理机制,持续监督及审查管理绩效,以落实资讯安全管理及业务持续营运之理念,并达到以下之标的:
- 落实资通安全管理政策。
- 全面导入资讯安全管理制度(ISMS)。
- 培训资讯人力资通安全专业能力。
- 强化资通安全环境及资讯安全应变能力。
- 达成资讯安全管理政策量测指标。
确保本公司所属之资讯资产之机密性、完整性及可用性,并符合相关法令法规之要求,使其免于遭受内、外部的蓄意或意外之威胁,以保障本公司所属职员或客户之权益。
本公司系依照ISO27001:2013标准之步骤建立资讯安全管理制度,制订资讯安全政策作为整体资讯安全管理制度之建置开发、实施操作、监控审查及持续维持改进之规范,并依据本公司业务活动与风险,以建立资讯安全管理政策及目标。
资讯安全组织架构
资通安全管理委员会至少每年召开一次会议,针对本公司现行之资讯安全管理制度进行审查。以确保相关程序的适用性、适切性及有效性皆符合本公司需求。并评估相关政策与目标的改进时机评估,或是其他的变更需求。审查结果应留下相关文件与纪录备查。本政策如遇重大改变时应立即审查,以确保其适当性与有效性。在必要时应告知相关单位及合作厂商,以利共同遵守。