資訊安全政策
為了促使本公司各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁均有義務積極參與推動資訊安全政策,以確保本公司之資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
「落實資訊安全,強化服務品質」;
「加強風險管理,確保持續營運」。
落實資訊安全,強化服務品質
由全體同仁貫徹執行資訊安全管理制度,所有資訊作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核資訊安全制度的工作,強化服務品質,提升服務水準。
加強風險管理,確保持續營運
督導全體同仁落實資訊安全管理工作,持續進行適當的資訊安全教育訓練,建立「資訊安全,人人有責」的觀念,促使同仁瞭解資訊安全之重要性,促其遵守資訊安全規定,藉此提高資訊安全智能及緊急應變能力,降低資安風險,達持續營運之目標。
資訊安全管理制度
本公司資訊安全管理制度(ISMS)沿用國際標準組織所訂定之持續改善P.D.C.A.循環流程管理模式,整合及強化資訊安全管理體系,建立制度化、文件化及系統化之管理機制,持續監督及審查管理績效,以落實資訊安全管理及業務持續營運之理念,並達到以下之標的:
- 落實資通安全管理政策。
- 全面導入資訊安全管理制度(ISMS)。
- 培訓資訊人力資通安全專業能力。
- 強化資通安全環境及資訊安全應變能力。
- 達成資訊安全管理政策量測指標。
確保本公司所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司所屬職員或客戶之權益。
本公司已於103年導入27001資通安全管理系統,並定期取得認證,目前證書有效期為112年4月19日至114年8月31日。依照ISO27001資通安全管理系統標準之步驟建立資訊安全管理制度,制訂資訊安全政策作為整體資訊安全管理制度之建置開發、實施操作、監控審查及持續維持改進之規範,並依據本公司業務活動與風險,以建立資訊安全管理政策及目標。
資訊安全組織架構
資通安全處理小組: 成員4人負責規劃及執行各項資訊安全作業。
危機處理小組: 成員9人為任務編組,由業務相關人員組成。
資通安全管理委員會至少每年召開一次會議,於112年召開,針對本公司現行之資訊安全管理制度進行審查。以確保相關程序的適用性、適切性及有效性皆符合本公司需求。並評估相關政策與目標的改進時機評估,或是其他的變更需求。審查結果應留下相關文件與紀錄備查。本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。