資通安全政策
資通安全政策
壹、資通安全管理之目的
確保「本公司」之系統主機、電腦設備、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊盗、不當使用、洩漏機密、不當竄改或破壞等風險。我們致力於維護資訊之:
(一) 可用性 (Availability) 確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
(二) 完整性 (Integrity) 確保使用之資訊正確無誤、未遭竄改。依重要性分類並提供適當保護。
(三) 機密性 (Confidentiality) 確保僅經授權之人員才可使用資訊,適當劃分資料機密等級並予以保護。
貳、資通安全政策內容
- 遵守政府相關法規(如資通安全管理法、個人資料保護法等)。
- 成立專責資通安全管理單位,建立並推動相關制度。
- 建立系統主機及網路使用之管理機制。
- 定期實施內部資通安全教育訓練,提升全員資安意識。
- 系統上線前將風險因素納入考量,防範安全危害。
- 明確規範存取權限,防止未經授權之存取。
- 建立機房實體環境安全防護,並定期維護保養。
- 建立內部稽核制度,定期檢視人員與設備使用情形。
- 訂定營運持續計畫,定期執行備份/備援及災難還原演練。
- 加強委外廠商資安風險評估與管理。
- 全員皆負有維持資通安全之責任。
- 資安政策至少每年評估及審查一次,以反映技術與法令現況。
參、資通安全風險管理架構
- 資訊安全管理小組:審視資安政策與監督運作,由資訊部最高主管擔任召集人,定期向高層報告。
- 總管理處 - 資訊部:權責單位,負責政策規劃、執行防護與推動落實。
- 稽核室:監理督導單位,負責內部資安稽核與定期追蹤改善。
【資通安全管理組織架構】
本公司管理運作模式採定期稽核與 PDCA (Plan-Do-Check-Act) 循環管理,確保目標達成與持續改善:
肆、資訊安全管理機制
(一) 政策制定 訂定安全作業管理辦法,明確規範人員資訊作業行為。
(二) 科技運用 建置並持續汰換資安軟硬體設施,符合當前風險控管。
(三) 宣導訓練 透過集會與郵件持續宣導,提昇全員資安意識。
(四) 稽核改善 由稽核部門定時進行風險評估與流程檢核。
伍、資訊安全管理措施
| 類別 | 說明 | 相關措施 |
|---|---|---|
| 權限管理 | 帳號管理、權限分配、系統操作規範。 |
● 權限審核與盤點 ● 操作權限最小化原則 |
| 存取控制 | 內外部系統存取安全、資料傳輸管道防護。 |
● 內外部存取管控 ● 防止資料外洩機制 (DLP) |
| 外部威脅 | 系統弱點、防毒防駭保護措施。 |
● 弱點檢測與更新修補 ● 惡意程式偵測與防護 |
| 系統可用 | 服務中斷處置與系統復原措施。 |
● 監控通報機制 ● 備份備援與定期演練 |
資通安全通報程序
資安事件之通報與處理,皆遵守以下規範程序進行:
