資通安全政策
一、 組織 :
為強化本公司之資訊安全管理、確保資料與系統及網路安全,故設立資安專責單位-資安室,組織包含資安專責主管及一名資安人員,負責資通安全事務的規劃與執行。
資安專責主管至少每年一次於董事會中報告重大議題或規劃。
二、資訊安全政策 :
1.維護資訊資產之機密性,確保經過適當授權存取,保障資訊業務隱私。
2.保障業務內部資料完整性,避免未經授權的存取及修改。
3.確保業務永續經營,維持資訊服務可用性。
4.確保各項資訊業務符合相關法令規定要求。
三、具體管理方案 :
1.資訊安全管理:保護公司免遭受破壞或威脅,維護資料、網路、系統及設備安全,降低環境風險,提供公司安全及可信賴之作業環境。
2.資訊安全組織:監督資訊安全管理之運行,擬定公司資訊安全發展方向、策略及步驟,增進公司運作安全。
3.資訊資產:訂定資訊資產管理之報廢程序,建立相對應之儲存資料刪除或銷毀程序,防止公司業務資料或個人資料遭到外洩,以妥善保護公司資訊資產。
4.資訊存取控制:制定存取控制規範,確保公司資訊作業存取權限經過適當的授權及管控,以防不當存取,確保公司資訊業務的機密性,降低未經授權存取系統的風險。
5.電腦資訊管制:維護電腦資訊系統的有效運作,包括電腦主機、應用軟體與資訊系統等,針對公司員工訂定相關管制程序。
6.軟體確效與管控:定期對軟體系統進行重新確效驗證程序,或於原廠系統修改、更新進行變更後,於時限內進行重新確效驗證之程序。
7.實體與環境安全:針對公司辦公區域與資訊機房實體進行環境管理,並制定相對應之管制程序,保護資訊資產以及周邊環境的安全,以減少環境安全問題所引發的危害,以達到安全控管的目的。
8.資訊安全事件:公司資訊系統發生資訊安全事件與資訊安全事故時,針對事件即時做出研判並採取必要應變措施及後續預防措施,建立完善通報處理作業程序。
9.營運持續管理:針對資訊系統設施,評估系統中斷可能造成的營運風險,進而擬定備援或恢復計畫,並定期執行演練。
10.法律遵循:本公司及員工應遵循各項資訊安全相關之法律、法令、法規或契約義務,以及公司資訊規範要求的事項。
四、資通安全的資源投入 :
針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作,資安室皆會定期檢討規劃與執行進度,並於公司週會或用郵件宣導資安觀念。並透過不定期的工程演練、資安健檢服務等,判斷使用者的資訊安全觀念是否足夠、資訊設備資源投入與系統配置是否存在漏洞,編列資安預算後執行。
五、緊急通報程序 :
當發生資訊安全事件時,發生單位通報資安室,判斷事件類型並找出問題點,即時處理並留下紀錄。