目的

本公司資通安全政策制定的目的,在提供可資依循之組織資通安全指導大綱及方向,明確定義本公司資通安全管理之目標,並作為本公司各事業部規範所管轄業務安全責任之指導原則。強化資通安全管理,確保資訊資料、系統、設備及網路通訊之安全,以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資通資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險。並符合資通安全管理制度(ISMS)要求,確保資通資產之機密性、完整性與可用性。
1.  機密性:確保被授權之人員方可合理的使用資訊,以防止資訊被不當揭露。
2.  完整性:確保資訊不受未經授權的竄改與資訊處理方法及結果的正確性。
3.  可用性:確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。

依據

ISO/IEC 27001

適用範圍

本公司SMILE和ERP核心業務之應用資訊系統維運與管理活動,包含系統管理、 機房管理以及網路基礎設施管理。

資通安全政策

「歸零事故,快速回復」
藉由人員的教育訓練、系統的監控、檢查和更新達到歸零事故,並定時演練及建立相

關SOP以達快速回復之效,以建立「歸零事故,快速回復」之觀念,確保資料處理
之機密性、完整性及可用性。

資通安全管理目標與內容

1.    本公司各部門執行業務時必須遵守政府相關法規(如:專利法、著作權法、
     個人資料保護法、個人資料保護法施行細則等)之規定。
2.    設置資通安全管理委員會,負責本公司資通安全管理系統之建立及推動事宜。
3.    建立組織全景評鑑機制,以界定資通安全的方針與資通安全管理系統的實施範圍,並了解組織全景及關注方的需要與期望。
4.    訂定文件控管作業規定,以律定資通安全制度相關文件之制定、修改、編碼、發行等管理原則。
5.    建立資通資產之管理機制,以統籌分配、有效運用有限資源,解決關鍵安全問題。
6.    建立風險評鑑管理辦法並識別出各類資產的風險,以採取適當之風險處理措施,加以管控、降低風險至可接受之程度。
7.    定期實施業務相關之資通安全教育訓練,宣導資通安全政策及相關實施規定。
8.    建立機房實體及環境安全防護措施,並定期施以相關保養維護。
9.    明確規範資通系統、網路服務、敏感資訊之使用權限,防止未經授權之存取行為。
10.    建立資通系統獲取、開發及維護作業流程,明確規範系統於開發及委外相關遵循之依據,且資通系統或服務應於建置或推出前,應將資通安全相關議題納入,以防範危害系統安全之情況發生。
11.    訂定及執行資通安全內部稽核活動,以落實資通安全管理制度,針對未盡事項執行矯正措施。
12.    訂定資通安全之營運持續計畫並實際演練,確保本公司遭受突發事故時業務得以持續運作。
13.    本公司所有人員皆負有維持資通安全之責任,且應瞭解及遵守相關之資通安全管理規定,並於工作職責中落實。

修訂與公告

本政策由「資通安全管理委員會」每年定期審議,另組織、業務、法令或實體環境等因素之變迭時,予以適當修訂。本政策經「資通安全管理委員會」主任委員核定後公布施行,修正時亦同。