ISMS
Information Security Management System
資訊安全政策
一、目的
- 確保公司內部單位及客戶單位主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。
- 確保業務資訊之機密性、完整性與可用性。
A. 機密性:確保被授權之人員才可使用資訊。
B. 完整性:確保使用之資訊正確無誤、未遭竄改。
C. 可用性:確保被授權之人員能取得所需資訊。
二、依據
- ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)
- 資通安全管理法(https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297)
- 教育部資通安全管理實施要點(https://edu.law.moe.gov.tw/LawContent.aspx?id=GL001321)
- 教育體系資通安全暨個人資料管理規範(https://iscb.nchu.edu.tw/)
- 國立中正大學資通安全政策(https://www.ccu.edu.tw/file/index/ISMS-101_v4.0.pdf)
三、適用範圍
- 公司資訊安全管理制度(ISMS)所涵蓋範圍皆適用之。
- 資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司帶來各種可能之風險及危害。管理事項如下:
A. 資通安全政策之制定及評估
B. 資訊安全組織之職責與分工
C. 人力資源安全
D. 資訊資產管理
E. 存取控制
F. 密碼措施
G. 實體與環境安全
H. 作業安全
I. 通訊安全
J. 資訊系統獲取、開發及維護
K. 供應商關係
L. 資通安全事故管理
M. 營運持續管理之資訊安全層面
N. 遵循性。
四、資通安全政策內容
- 公司各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
- 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
- 定期實施資通安全教育訓練,宣導資訊安全政策及相關實施規定。
- 建立主機及網路使用之管理機制,以統籌分配、運用資源。
- 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
- 明確規範網路系統之使用權限,防止未經授權之存取動作。
- 訂定資訊安全管理制度內部稽核計畫,定期檢視公司推行資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
- 公司所有人員負有維持資通安全之責任,且應遵守相關之資通安全管理規範。
- 資訊安全管理制度文件應有明確之管理規範。
- 委外廠商在執行公司委外業務時若有複委託之需求,應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全管理制度(ISMS)等相關規定對複委託廠商進行適當之監督與管理。
- 對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
- 應制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,要求同仁落實執行,並定期針對可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體進行風險評鑑,依據風險評鑑之結果選擇適切之控制措施,定期對同仁執行查核作業,確保使用可攜式資訊設備及儲存媒體之風險受到監控,降低機密資料外洩之風險。
五、資安政策之評估與審查
本政策應至少每年評估及審查一次,以反映政府資通安全管理政策、法令、技術及公司業務等之最新發展現況,確保公司資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
六、實施
本政策經以思科技董事會核准,於公告日施行,並以書面、電子或其他方式通知本公司及與公司連線作業之有關機關(構)、廠商,修正時亦同。