資訊安全政策
一、目的
- 確保公司內部單位及客戶單位主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。
- 確保業務資訊之機密性、完整性與可用性。
- 機密性:確保被授權之人員才可使用資訊。
- 完整性:確保使用之資訊正確無誤、未遭竄改。
- 可用性:確保被授權之人員能取得所需資訊。
二、政策內容
- 本公司各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
- 成立資訊安全管理專職單位,負責資訊安全制度之建立及推動事宜。
- 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
- 建立主機及網路使用之管理機制,以統籌分配、運用資源。
- 新系統及設備建置上線前,須將風險、安全因素納入考量,防範危害資訊安全之情況發生。
- 建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
- 明確規範網路系統之使用權限,防止未經授權之存取動作。
- 訂定資訊安全管理制度內部稽核計畫,定期檢視資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
- 訂定營運持續管理備援、備份還原之演練,確保公司業務持續運作。
- 本公司所有人員負有維持資訊安全之責任,且應遵守公司相關之資訊安全管理規範。
- 委外廠商在執行本公司委外業務時若有複委託之需求,應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全相關規定對複委託廠商進行適當之監督與管理。
- 對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
- 資安政策之評估與審查應至少每年評估及審查一次,以反映管理政策、政府法令、新科技技術及公司業務等之最新發展現況,確保資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
三、資訊安全管理措施
- 權限管理(人員帳號、權限管理、系統操作)
- 人員帳號權限管理與審核
- 人員帳號權限定期覆核
- 人員密碼定期更換
- 存取管制(人員存取內外部系統、資料傳輸管道安全措施)
- 內/外部網路連線與存取管控機制
- 電腦軟體安裝權限管制
- 外部威脅(內部系統潛在弱點、防毒防駭的保護措施)
- 主機及電腦弱點偵測/定期掃描/病毒碼定期更新
- 防火牆入侵偵測/病毒/惡意程式防護
- 連外網頁安全過濾
- 系統可用(系統可用狀態與服務中斷時的處置措施)
- 資料本地/異地備份措施,本地/異地機房備援
- 每年定期災害復原演練