公司資訊安全政策
一、目的本政策旨在作為公司資訊安全管理系統(ISMS)的依據,並以持續改進的PDCA循環管理模式來整合資通安全體系。主要目標包括建立、實施並維護資通安全管理政策,全面導入ISMS,培訓專業資通人力,加強資通安全環境及應變能力,達成資通安全的管理指標,並確保本公司資訊資產的機密性、完整性及可用性,符合相關法規要求。
二、適用範圍
本政策適用於公司所有業務活動,涉及資通安全的管理範圍包括組織內部管理、員工、實體設備及技術,並預防資料外洩、竄改、破壞等風險,保障業務營運。
三、安全管理政策
為確保資通安全管理的有效性,並保障公司資通系統和業務的持續運營,本政策將指導公司執行資訊安全管理,包括強化資通安全,保障服務品質,針對內外部威脅選擇適當的保護措施並持續監控,定期進行資通安全教育訓練,提高員工應變能力,並訂定關鍵業務的緊急應變與災害復原計劃,定期演練,確保業務持續。
四、資通安全管理目標
公司應依據安全管理政策,設立資通安全管理目標,並進行持續檢討,確保資通安全措施的有效性。
五、資通安全責任
各層級員工的資通安全責任包括管理階層負責審查並建立資通安全政策,所有員工及委外廠商需依照資通安全政策執行,並報告與處理安全事件及弱點。違反資通安全規定的行為將依相關規範處理。
六、資訊安全管理制度(ISMS)
公司依ISO 27001:2022標準要求,建立並實施ISMS,並持續進行監控與改進。具體內容包括建立符合公司業務及風險需求的資通安全管理政策,進行風險評估與處理,識別影響ISMS預期成果的內外部議題,並根據評估結果確定ISMS範圍及適用性,選擇適當的安全控制措施,制定風險處理計劃,監控並測量控制措施的有效性,並定期監控、巡檢設備及環境,確保安全控制措施有效。