編號: I-1-01 / 版本: 1.0 / 發行日期: 112 年 5 月 2 日
1. 目的
為維護適才科技股份有限公司(以下簡稱本公司)所屬資訊資產之機密性、完整性及可用性,並符合相關法規之要求,並保障使用者資料隱私,使其免於遭受內、外部的蓄意或意外之威脅。本公司整合各層級部門資通安全目標,建立本公司整體資通安全政策目標如下:
◆ 保護本公司業務活動資訊,避免未經授權存取,確保機密性。
◆ 保護本公司業務活動資訊,避免未經授權修改,確保正確完整性。
◆ 建立資訊業務永續運作計畫,維持本公司業務持續運作,確保可用性。
◆ 本公司之業務執行符合相關法規之要求,確保法規遵循性。
2. 適用範圍
本政策適用於本公司人員、委外服務廠商與訪客皆應遵守本政策,以及資通訊安全之相關作業規範管理事宜。
為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。資通訊安全管理除透過「適用性聲明」、「文件管理程序書」、「資通安全稽核管理程序書」、「矯正預防管理程序書」外,亦依循下列程序書管理各事項:
2.1. 資通安全政策訂定與評估(資通安全政策、資通安全目標管理程序書、組織全景分析程序書)。
2.2. 資通安全組織(資通安全組織管理程序書)。
2.3. 人員資通安全管理與教育訓練(人力資源安全管理程序書)。
2.4. 重要資通資產分類與管制(資訊資產管理程序書)。
2.5. 風險鑑別管控(資通安全風險管理程序書)。
2.6. 存取控制安全(存取管制與密碼管理程序書)。
2.7. 實體與環境安全(實體與環境安全管理程序書)。
2.8. 作業安全管理(作業安全管理程序書)。
2.9. 網路安全管理(網路安全管理程序書)。
2.10.資訊系統獲取、開發與維護之安全(系統發展與維護管理程序書)。
2.11.供應商服務管理(供應商關係管理程序書)。
2.12.資通安全事件之反應及處理(資通安全事件管理程序書)。
2.13.業務永續運作管理(業務持續管理程序書)。
2.14.相關法規與本公司政策之符合性(法規遵循管理程序書)。
3. 權責
為落實執行本公司資通安全政策,權責劃分如下:
3.1. 本公司設置資通安全委員會,由公司管理高層指定一員任資通安全長,該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查。
3.2. 資通安全委員會下設置資通安全工作小組,由資通安全長指定專人擔任管理代表,配合本公司資通安全需求制修訂各階管理程序文件,維持本公司資通安全管理系統之有效運作,每年應至少一次將資通安全工作執行成果,陳報資通安全委員會進行管理審查。
3.3. 本公司各單位應遵循資通安全工作小組制定之相關資通安全規定。
3.4. 本公司員工、本公司辦公場所以外之系統連線使用者及承接本公司業務之廠商,應遵循本公司資通安全政策及相關管理規定。
3.5. 有任何危及資通安全之行為者,應依法負擔民事、刑事責任,並依本公司相關規定進行行政懲處。
4. 名詞定義
4.1. 資通安全:實現和維護資訊與通訊的機密性、完整性及可用性;亦能涉及如鑑別性、可歸責性、不可否認性及可靠性等性質。
4.2. 機密性:資訊不得被未經授權之個人、實體或程序所取得或揭露的特性。
4.3. 可用性:已授權實體在需要時可存取與使用之特性。
4.4. 完整性:對資產之精確與完整安全保證的特性。
4.5. 鑑別性:確保特定主體或資源之識別就是其所聲明者的特性。
4.6. 不可否認性:對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。
4.7. 可歸責性:確保實體之行為可唯一追溯到該實體的特性。
4.8. 可靠性:確保預期行為與結果一致的特性。
5. 作業說明
5.1. 審查:
本政策應至少每年評估審查一次,以符合政府法令之要求,並反映資通科技發展趨勢,確保本公司資通安全管理作業之有效性。
5.2. 實施:
5.2.1. 資通安全政策應配合資通安全委員會召開時機,每年定期進行資通安全政策及執行成效管理審查。
5.2.2. 本公司每年應遵循「資通安全目標管理程序書(I-2-05)」,使用「資通安全目標有效性量測表(I-2-05-01)」定期量測並審查資通安全目標執行績效,
亦應每年定期審核本公司各層級、各部門及整體資通安全管理系統政策目標之有效性和適切性。
5.2.3. 本公司每年應依據「組織全景分析程序書(I-2-19)」,使用「組織全景鑑別表(I-2-19-01)」定期進行組織全景分析,鑑別可能影響組織達成資通安全
管理系統預期成果能力者之內部及外部議題,瞭解利害關係者關注方之需要及期望。
5.2.4. 本公司應定義並每年定期進行資通安全管理系統「適用性聲明書(I-1-02)」審查,包含檢討資通安全管理系統適用範圍、納入或排除資通安全控制措
施之項目及其理由之正確及適切性。
5.2.5. 本政策經本公司「資通安全委員會」通過後實施,修訂時亦同。
6. 使用表單與相關文件
6.1. 相關文件:
6.1.1. 本公司資通安全管理各階文件。
6.2. 使用表單:
6.2.1. 組織全景鑑別表(I-2-19-01)
6.2.2. 資通安全目標有效性量測表(I-2-05-01)