壹、目的
本公司為強化資訊安全管理,確保所屬資訊資產之機密性、完整性及可用性,並符合 ISO/IEC 27001:2022 資訊安全管理系統標準及相關法令規定。為展開各項資安條款之實做要求、確保業務持續運作並落實各項風險管控,特定此政策規範。
貳、適用範圍
本政策適用於本公司各營運區域。資訊安全管理範圍界定為:提供辦公室網路存取傳輸之保護(含 AD 網域控管、防火牆、NAS 儲存、E-mail 服務)與機房作業管制。本政策涵蓋對象包含全體同仁、供應商、委外服務廠商及其派駐人員。
參、資訊安全核心政策
依據本公司《資訊安全手冊》之指導方針,本公司資安核心指導原則如下:
- 強化資安認知意識:落實教育訓練,確保全體同仁具備資安風險警覺並能執行資安維護責任。
- 落實安全保護措施:確保各項資訊安全控制措施有效實施,維持核心系統運作不中斷。
- 避免營業秘密外洩:嚴格控管資料存取權限,保護公司核心技術與客戶隱私等敏感資訊。
肆、管理原則摘要
本公司依據《適用性聲明書》針對以下四大領域實施嚴格管理:
- 組織控制:建立跨部門資訊安全小組,明確定義權責職掌,定期評估威脅情資與供應商資安風險。
- 人員控制:要求所有人員簽署保密協議 (NDA),並將資安義務納入聘僱程序及離職資產回收流程。
- 實體控制:辦公區域與重要機房設施實施實體進入管制與攝影監控,並落實桌面淨空與螢幕淨空政策。
- 技術控制:落實強效鑑別與帳號管理、定期執行弱點掃描、實施網路隔離、確保資料備份與復原測試,以及落實保全開發生命週期 (SDLC) 管理。
伍、持續改善
本公司資安小組應定期(每年至少一次)召開管理審查會議,依據內部稽核、績效量測結果及風險評鑑結果,持續精進資訊安全管理系統之適切性與有效性。