目的
確保核心智識股份有限公司(以下簡稱本公司)核心資訊系統服務與重要資訊基礎設施正常且安全穩定的運作,規範本公司之資訊安全管理制度最高指導方針,提供安全、可信賴之資訊服務,確保資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,保障資訊服務使用者之權益。
範圍
- 基於本公司以保護資訊資產機密性、完整性、可用性為目標,故將本公司資訊作業納入資訊安全管理制度範圍。
- 為避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來可能之風險及危害。資訊安全管理事項如下:
- 資訊安全政策。
- 資訊安全組織。
- 人力資源安全。
- 資產管理。
- 存取控制。
- 密碼學。
- 實體及環境安全。
- 運作安全。
- 通訊安全。
- 系統獲取、開發及維護管理。
- 供應者關係。
- 資訊安全事故管理。
- 營運持續管理。
- 遵循性。
權責
- 資安暨個資管理審查委員會 : 本公司資訊發展暨安全管理階層決策組織。
- 資安暨個資執行小組 : 本公司資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並向資安暨個資管理審查委員會提報資訊安全相關議題。
- 公司內部同仁、供應商、委外廠商、外部訪客:
- 配合資訊安全管理制度活動。
- 遵守相關資訊安全管理制度規範。
作業流程
定義
- 資訊安全: 保存資訊的機密性、完整性及可用性;此外,亦能涉及如適法性、鑑別性、可歸責性、不可否認性及可靠度等性質。
- 資訊資產: 對組織維持資訊運作有價值的任何事物,如資訊、人員、軟體、硬體、服務皆屬之。
原則
- 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估,確定資訊作業安全需求,建立標準作業程序,採取適當資訊安全管控措施,確保資訊資產安全。
- 依人員職務及職能需求為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。
- 資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。
- 建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理,並訂定業務持續計畫並定期演練,以確保資訊系統或資訊服務持續運作。
- 依據個人資料保護法與智慧財產法之相關規定,審慎處理及保護個人資料與智慧財產權。
- 定期執行資訊安全稽核作業以確保資訊安全管理制度落實。
- 違反本政策與資訊安全相關規範,依相關法規或本公司人事規定辦理。
- 為確保本公司同仁皆知悉本公司資訊安全要求,另訂定「資訊安全宣言」告知本公司同仁遵悉。
審查與布達
- 本政策反映相關法令及技術等最新發展現況,並予以適當修訂。
- 資安暨個資執行小組應確保資訊安全要求皆被知悉,應識別須被布達「資訊安全宣言」的利害關係者。
- 本政策經核准,於公告日施行。
如有針對本公司資安政策有相關問題,請聯繫我們。