top of page
Image by Philipp Katzenberger

​資安政策

資訊安全政策管理,保護你我使用上的權益

1.  本公司資訊安全政策:「資安不分day and night,病毒駭客say goodbye」
強化公司的資訊安全管理,確保客戶及同仁資料處理之機密性、完整性及可用性,並保障公司資料之處理全程均可獲安全保障,提供安全穩定及高效率之資訊服務。

 

2.  目標
2.1. 資訊安全政策:(依附錄A5~A18)

       2.1.1.    依營運要求及相關法律與法規,提供資訊安全之管理指導方針及支持。
       2.1.2.    資訊安全政策由管理階層定義並核准,且對內部及相關外部傳達。
       2.1.3.    資訊安全政策應定期或發生重大變更時審查,以確保合宜性、適切性及有效性。

2.2. 資訊安全之組織:
       2.2.1.    建立管理框架,以於組織內啟動及控制資訊安全之實作及運作。
       2.2.2.    確保遠距工作及使用行動裝置之安全。

2.3. 人力資源安全:

        2.3.1.    確保員工及承包者瞭解其將承擔之責任,並適任其角色。
       2.3.2.    確保員工及承包者認知並履行其資訊安全責任。
       2.3.3.    將保護組織利益納入聘用變更或終止聘用過程之一部分。

2.4. 資產管理:

        2.4.1.    識別組織之資產並定義適切之保護責任。
        2.4.2.    確保所有資產依其對組織之重要性,受到適切等級的保護。
        2.4.3.    防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
2.5. 存取控制:
        2.5.1.    限制對資訊及資訊處理設施之存取。
        2.5.2.    確保授權使用者得以存取,並避免系統及服務的未授權存取。
        2.5.3.    令使用者對保全其鑑別資訊負責。
        2.5.4.    防止系統及應用遭未經授權存取。

2.6. 密碼學:
        2.6.1.    依照法規、客戶要求及資訊資產風險設置加密機制。
        2.6.2.    對加密使用金鑰進行取得、安裝、回收、備份及展期作業進行管制。

2.7. 實體及環境安全:
        2.7.1.    防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
        2.7.2.    防止資產之遺失、損害、遭竊或破解,並防止組織運作中斷。

2.8. 運作安全:
        2.8.1.    確保資訊處理設施之正確及安全操作。
        2.8.2.    確保資訊及資訊處理設施,以防範惡意軟體。
        2.8.3.    防範資料漏失。
        2.8.4.    紀錄事件及產生證據。
        2.8.5.    確保運作中系統之完整性。
        2.8.6.    防範對技術脆弱性之利用。
        2.8.7.    使稽核活動對運作中系統之衝擊降至最低。

2.9. 通訊安全:
        2.9.1.    確保對網路及其支援之資訊處理設施中資訊之保護。
        2.9.2.    保護組織內及與任何外部個體所傳送資訊之安全。

2.10. 系統獲取、開發及維護:
        2.10.1. 確保資訊安全係跨越整個生命週期之整體資訊系統的一部分。此亦包括經由公共網路提供服務之資訊系統的要求事項。
        2.10.2. 確保於資訊系統之開發生命週期內,設計及實作資訊安全。
        2.10.3. 確保測試用資料之保護。

2.11. 供應者關係:
        2.11.1. 確保對供應商者可存取之組織資產的保護。
        2.11.2. 維持資訊安全及服務交付之議定等級與供應者協議一致。

2.12. 資訊安全事故管理:
        2.12.1. 確保對資訊安全事故之管理的一致及有效作法,包括對安全事件及弱點之傳達。
2.13. 營運持續管理之資訊安全層面:
        2.13.1. 資訊安全持續應嵌入組織之營運持續管理系統中。
        2.13.2. 確保資訊處理設施之可用性。

2.14. 遵循性:

        2.14.1. 避免違反有關資訊安全相關之法律、法令、法規或契約義務,以及任何安全要求事項。
        2.14.2.  確保依組織的政策及程序,實作及運作資訊安全。

bottom of page