資訊安全管理之目的:
1.確保公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。2.確保公司業務資訊之機密性、完整性與可用性。
3.機密性:確保被授權之人員才可使用資訊。
4.完整性:確保使用之資訊正確無誤、未遭竄改。
5.可用性:確保被授權之人員能取得所需資訊。
資訊安全政策內容:
1.本公司各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。2.成立資訊安全管理專職單位,負責資訊安全制度之建立及推動事宜。
3.定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
4.建立主機及網路使用之管理機制,以統籌分配、運用資源。
5.新系統及設備建置上線前,須將風險、安全因素納入考量,防範危害資訊安全之情況發生。
6.建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
7.明確規範網路系統之使用權限,防止未經授權之存取動作。
8.訂定資訊安全管理制度內部稽核計畫,定期檢視資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
9.訂定營運持續管理備援/備份還原之演練,確保公司業務持續運作。
10.本公司所有人員負有維持資訊安全之責任,且應遵守公司相關之資訊安全管理規範。