logo-starbit

Information Security Policy
資訊安全政策

1. 本公司資訊安全目標為確保重要及核心系統之機密性(Confidentiality)、完整性 (Integrity)及可用性(Availability)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

2. 為達成本公司之任務目標及最高管理階層對資訊安全之期許與要求,確保本公司資訊資產之安全,資訊安全政策訂為:

2.1. 原則

2.1.1. 應考量相關法律規章及營運要求,進行資產風險評估 (Risk evaluation),確認資訊作業安全需求,建立標準作業程序,並採取適當資訊安全控制措施,以確保資產安全。

2.1.2. 為利推行資訊安全工作,應建立資訊安全組織並訂定其分工權責。

2.1.3. 以人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。

2.1.4. 資產存取權限之賦予,應依據業務需求並考量最小權限、權責區隔及審查。

2.1.5. 建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理。

2.1.6. 訂定營運持續計畫並定期演練,以確保資訊服務持續運作。

2.1.7. 依據『資通安全管理法』、『個人資料保護法』與智慧財產權等相關法令規定,審慎處理及保護資訊資產、個人資料與智慧財產權。

2.1.8. 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實度。

2.1.9. 同仁如違反本政策與資訊安全相關規範,應依獎懲標準或相關法規辦理。其他人員違反資訊安全規定時,亦應依相關法律規定追究民刑事責任。

2.2. 目標

2.2.1. 共同保護資訊服務維運管理相關資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。

2.2.2. 建立資訊安全管理流程與相關標準作業程序,加強同仁資訊安全意識,避免人為作業疏失與意外,以維持資訊服務符合機密性、完整性、可用性、適法性的持續運作。

2.2.3. 應以營運策略方向制定資訊安全目標,使營運策略建構在資訊安全目標之上。

3. 為確保資訊安全管理系統能有效運作,本公司已成立資訊安全組織,統籌資訊安全管理制度之規劃及推動事宜。

4. 人力資源安全管制:為降低人為因素影響本公司資訊安全,本公司實施適當之資訊安全教育、訓練及宣導,以提升人員對資訊安全之認知。

5. 資產管理:為保護本公司資訊資產安全,本公司依照規範建立資訊資產清冊,並訂定資訊資產分類、分級及管控措施作業原則。

6. 存取控制:

6.1. 為確保資訊處理設備之授權存取,訂定使用者密碼、註冊、變更、刪除及定期審查機制,並訂定辦公桌及電腦螢幕淨空措施。

6.2. 為維護網路安全,訂定網路服務機制,區隔內部網路與聯外方式,管控遠距工作及行動裝置之使用。

7. 密碼管制:訂定適當與有效使用密碼政策,保護資訊的機密性、鑑別性及完整性。

8. 實體及環境安全管制:為確保機房、辦公處所與相關設備之安全,本公司訂定電腦機房門禁、設備檢查與管理原則,並訂定辦公室一般資訊設備使用、管理及報廢原則。

9. 運作及通訊安全

9.1. 為確保正確、安全地操作資訊設備,訂定資訊正確使用之規範,防範機密資訊外洩,並建立防範惡意程式碼及可移動程式碼之機制。

9.2. 為確保資訊資產完整性及可用性,訂定資訊處理設施備份作業及採用外部資訊處理設施服務管控原則。

9.3. 為維護網路安全,訂定網路安全控制機制及監督系統使用狀況軌跡保護原則。

10. 系統獲取、開發及維護:為確保應用系統開發管理、測試、驗收、上線、維護及委外管理作業之安全,本公司訂有標準管制程序。

11. 供應者關係:訂定供應者關係與管理,以確保供應者存取、處理及管理本公司資訊與資訊處理設施之安全。

12. 資訊安全事件管理:為降低資訊安全事件造成之損害,本公司訂有資訊安全通報及處理程序,並加以記錄。

13. 營運持續管理:為確保本公司業務持續運作,本公司訂有營運持續管理之資訊安全層面控制原則,建立業務持續運作管理流程及架構,並撰寫及實施業務持續運作計畫。

14. 適法性:為確保資訊安全管理系統之施行符合相關法令、安全政策及最新技術趨勢,本公司訂有適法性確認原則。

15. 員工違反資訊安全相關規定,其應負之資訊安全責任依紀律程序處理。

16. 本政策至少每年經本公司資訊安全管理審查代表審閱一次,以符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

17. 本政策未盡事宜,悉依有關法令及本公司相關規定辦理。

18. 本政策經本公司資訊安全管理審查代表同意後實施;修正時亦同​。