「您的信任,我們的責任。」
我們深知資訊安全對於您和我們的工作來說非常重要,因此,本公司將致力於保障資訊安全,確保您的資料在我們的系統中始終受到妥善保護,以提供安全、可靠的服務。
以下為本公司的資訊安全政策(版本1.0),於 2024-05-24 訂定。
一、目的
- 確保本公司提供服務之資訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險。
- 確保本公司業務資訊之機密性、完整性與可用性:
- 機密性:確保被授權之人員才可使用資訊。
- 完整性:確保使用之資訊正確無誤、未遭竄改。
- 可用性:確保被授權之人員能取得所需資訊。
二、依據
- 資通安全管理法
- 個人資料保護法
- ISO/IEC 27001:2022
- ISO/IEC 27002:2021
三、適用範圍
- 本公司資訊安全管理系統(ISMS)所涵蓋範圍皆適用之。
- 資訊安全涵蓋四大管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
- 組織管理
- 人員管理
- 實體管理
- 技術管理
四、政策目標
- 系統可用性達 99.9%以上。(中斷時數/總運作時數≤ 0.1%)。
- 知悉資安事件發生後,於規定的時間完成通報、作業的比率為100%,復原作業若可達成,應盡力復原。
- 電子郵件社交工程演練之郵件開啟率/附件點閱率低於5%。
- 辦理資安及社交工程教育訓練(1次)。
- 系統發生資料外洩之資通安全事件(≦1次/年)。
- 服務網站發生資料遭竄改之資通安全事件(≦1次/年)。
- 帳號權限管理未授權事件(≦1件/年)。
- 辦理資訊安全內部稽核1次。
- 辦理資訊安全外部稽核1次。
五、承諾事項
- 組織管理:
- 依營運要求及相關法律與法規,提供資訊安全之管理指導方針及支持。
- 成立資訊安全管理組織,負責資訊安全制度之建立及推動事宜。
- 識別組織之資產並定義適切之保護責任,並對供應商可存取之組織資產亦有相應之保護。
- 訂定資訊安全管理制度內部稽核計畫,並依稽核報告擬訂及執行矯正預防措施。
- 確保對資訊安全事故能有效管理,包括評估、通報與處置流程。
- 建立營運持續計畫,並確保中斷期間之資訊安全。
- 人員管理:
- 所有人員負有維持資通安全之責任,且應遵守相關之資通安全管理規範。
- 定期實施資訊安全教育訓練,宣導資訊安全政策及相關規定。
- 實體管理:
- 防止辦公場域遭未經授權之進入,以及實體資產之遺失、損害或遭竊。
- 制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,並定期執行查核作業,降低機密資料外洩的風險。
- 技術管理:
- 明確規範系統之使用權限,防止未經授權之存取動作。
- 確保適當及有效使用密碼學,以保護資訊之機密性。
- 識別、評估和處理在系統開發與維護過程中所面臨的技術脆弱性。
- 建立主機及網路使用之管理機制,並將風險、安全因素納入考量,防範危害系統安全之情況發生。
六、評估與審查
- 本政策應至少每年評估及審查一次,以反映政府政策、法令、技術及本公司業務等之最新發展現況,確保本公司資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
七、實施
- 本政策經資訊安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知本公司全體及與本公司有關之廠商、客戶,修正時亦同。