资讯安全管理之目的:
1.确保公司主机、网路设备及网路通讯安全,有效降低因人为疏失、蓄意或天然灾害等导致之资讯资产遭窃、不当使用、泄漏、窜改或破坏等风险,并建立资通安全管理规范。 2.确保公司业务资讯之机密性、完整性与可用性。
3.机密性:确保被授权之人员才可使用资讯。
4.完整性:确保使用之资讯正确无误、未遭窜改。
5.可用性:确保被授权之人员能取得所需资讯。
资讯安全政策内容:
1.本公司各项资讯安全管理规定必须遵守政府相关法规(如:资通安全管理法、刑法、国家机密保护法、专利法、商标法、著作权法、个人资料保护法等)之规定。 2.成立资讯安全管理专职单位,负责资讯安全制度之建立及推动事宜。
3.定期实施资讯安全教育训练,宣导资讯安全政策及相关实施规定。
4.建立主机及网路使用之管理机制,以统筹分配、运用资源。
5.新系统及设备建置上线前,须将风险、安全因素纳入考量,防范危害资讯安全之情况发生。
6.建立资讯机房实体及环境安全防护措施,并定期施以相关维护及保养。
7.明确规范网路系统之使用权限,防止未经授权之存取动作。
8.订定资讯安全管理制度内部稽核计画,定期检视资讯安全管理制度范围内所有人员及设备使用情形,依稽核报告拟订及执行矫正预防措施。
9.订定营运持续管理备援/备份还原之演练,确保公司业务持续运作。
10.本公司所有人员负有维持资讯安全之责任,且应遵守公司相关之资讯安全管理规范。