ISMS資訊安全政策
Information Security Policy
-
目的:
為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。
-
範圍:
資訊安全涵蓋 14 項管理事項,避免因人為疏失、天然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
2.1 適用於本公司資訊資產、ERP 系統之安全管理作業,涵蓋機密性、完整和可用性。
2.2 適用於本公司相關員工、提供資訊服務廠商及第三方人員。
-
定義:
所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業,包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體,以確保資訊蒐集、處理、傳送、儲存及流通之安全。
-
本公司資訊安全政策:
強化本公司的資訊安全管理,建立「資訊發展,以安全為基礎」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務,並承諾落實運作與持續改善資訊安全管理系統。
-
主題特定政策:
5.1 資訊安全之組織:
5.1.1 建立管理框架,以利組織內啟動及控制資訊安全之實作及運作。
5.1.2 確保遠距工作及使用行動裝置之安全。
5.2 人力資源安全:
5.2.1 確保員工及承包者瞭解其將承擔之責任,並適任其角色。
5.2.2 確保員工及承包者認知並履行其資訊安全責任。
5.2.3 將保護組織利益納入聘用變更或終止聘用過程之一部分。
5.3 資產管理:
5.3.1 識別組織之資產並定義適切之保護責任。
5.3.2 確保所有資產依其對組織之重要性,受到適切等級的保護。
5.3.3 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
5.4 存取控制:
5.4.1 限制對資訊及資訊處理設施之存取。
5.4.2 確保授權使用者得以存取,並避免系統及服務的未授權存取。
5.4.3 作業系統為識別網路與個人電腦的使用者,要求使用者登錄識別,並針對通行碼作強度之規範。
5.4.4. 防止系統及應用遭未經授權存取。
5.5 密碼學:
5.5.1 依照法規、客戶要求及資訊資產風險設置加密機制。
5.5.2 N/A
5.6 實體安全:
5.6.1 防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
5.6.2 防止資產之遺失、損害、遭竊或破解,並防止組織運作中斷。
5.7 運作安全:
5.7.1 確保資訊處理設施之正確及安全操作。
5.7.2 確保資訊及資訊處理設施,以防範惡意軟體。
5.7.3 防範資料漏失。
5.7.4 紀錄事件及產生證據。
5.7.5 確保運作中系統之完整性。
5.7.6 防範對技術脆弱性之利用。
5.7.7 使稽核活動對運作中系統之衝擊降至最低。
5.8 網路安全:
5.8.1 置於公開網路應用服務採取適當之加密機制 (如 Https),以確保資料傳遞之安全性。
5.8.2 藉由 VPN 與防火牆管制,以降低受外部網路攻擊或入侵之風險。
5.9 系統獲取、開發及維護:
5.9.1 系統開發與維護採用專案管理模式進行以確保資訊安全。
5.9.2. 系統設計開發與原始碼採用版本控制軟體管理,以確保版本的正確性。
5.9.3 系統開發及驗收依照規格要求進行安全測試。
5.10 供應者關係:
5.10.1 本公司在資訊服務委外給第三方時,於採購合約中明定與第三方服務的範圍與內容,並載明雙方之權利與義務。
5.10.2 針對雲端服務建立評估、監控及退出管理機制。
5.11 資訊安全事故管理:
5.11.1 確保對資訊安全事故之管理的一致及有效作法,包括對安全事件及弱點之傳達。
5.12 業務持續管理之資訊安全層面:
5.12.1 資訊安全持續應嵌入組織之業務持續管理系統中。
5.12.2 確保資訊處理設施之可用性。
-
適用性聲明書
依據「ISO 27001 資訊安全管理系統-要求」要求產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,資訊安全管理委員應重新定義控制措施之適用性。
-
實施
本政策經總經理或安全長核定後實施,修訂時亦同。