資訊安全管理政策:
本公司資訊安全管理政策為「基於法令規定及合約要求,提供可信賴的資訊安全管理作業環境,維護資訊系統及資料之合法利用,確保公司業務持續正常運作,達成公司資訊安全管理目標。」
1.移動裝置管理作業準則:所有界接到本公司網路和資訊系統之移動裝置,應經公司審查核准,包括手機、筆記型電腦、平版電腦、或其他具有儲存和連線功能之移動式裝置,始可使用。
2.遠距工作管理作業準則:經由外部網路連接本公司系統之遠距工作,僅限連接中或普安全等級之資訊系統、非敏感個人資料和非機密級資料,且電腦應經設有本公司同意之保護機制。安全等級高之資訊系統、敏感個人資料和機密級資料之存取,僅限於本公司內部或VPN網路作業,不得經由未經加密保護之公眾網路連接存取。
3.存取管制作業準則:本公司系統與資料存取管制,包含實體與邏輯二部分。界接本公司之資通訊資產設備,不得設於本公司外部無人看管或未具有保護機制之位置。具有存取本公司資訊系統或網路設施之設備,必須要具有唯一識別機制,且僅能由設備擁有者存取和個人工作相關之系統與資料,以便能夠監控設備存取軌跡和紀錄。擁有特別存取權限之使用者,應實施獨立監控作業。
4.加密機制管理作業準則:本公司所有敏感個資、管制個資和機密資料之傳輸、儲存到移動裝置,應加密處理。
5.金鑰管理作業準則:本公司使用之金鑰,包括公鑰與私鑰,應事前評估,且經資安長核准。每年應定期審查金鑰的有效性,金鑰之管理,包括金鑰產生、發行、使用、保管與作廢,應由專人管理。
6.螢幕清空與桌面淨空作業準則:本公司同仁及合約約聘人員使用之電腦,包括伺服器、個人電腦、筆記型電腦和具有操作畫面之移動裝置,應設定電腦螢幕清空保護時間,電腦在無人操作情況下,以不超過5分鐘為原則,最長不得超過10分鐘,系統畫面應自動進入通行密碼保護狀態。
7.桌面淨空作業準則:本公司同仁及合約約聘人員桌面,不應存機敏個資、管制個資、放密、機密資料。人員離開座位時,應將桌面整理淨空,密及機密資料,應採取保護措施進行保護管理。
8.備份作業準則:本公司之資訊系統與系統中之資料,依其資通訊資產可用性要求,區分為普、中、高、非常高四個級別。資訊系統與資料,應其可用性要求進行備份和營運持續管理。
9.資訊傳輸管理作業準則:在本公司內部系統間傳輸之資料,應在系統中設定保護機制。本公司與外部團體間的資訊傳輸,應經事前申請與核准。公司與外部團體間如為傳輸機密性資料,傳輸過程應有加密保護。
10.安全開發作業準則:本公司應建立軟體開發維護之資訊安全管理需求清單,且每位軟體開發專案工程師,每年應至少接受一次軟體分析、設計、開發及測試相關之資訊安全管理訓練。
11.委外廠商資訊安全管理作業準則:本公司應與委外廠商建立專案之資訊安全管理要求,並在委外廠商履行義務過程,實施必要之監控與驗證,確保委外廠商提供之服務與產品,符合本公司資訊安全管理規定。
本公司資訊安全工作小組每年應依據「資訊安全目標與績效量測管理規定」(2-074)設定該年度的資訊安全管理目標及KPI,並依據設定的目標擬定該年度的行動方案並執行監控。
為達成本公司每年所設定資訊安全管理目標,本公司參考ISO/IEC 27001國際標準要求,建立公司資訊安全管理制度,對公司資訊安全管理制度實施範圍內之重要資通訊資產採取適當保護措施,以維持資通訊資產的機密性、完整性與可用性,使各項業務能順利且安全的執行,提供客戶優良服務並滿足其資訊安全管理之需求。 為確保本公司資訊安全管理制度之實施,能夠達成公司營運之需要,各項作業流程應根據本公司資訊安全管理目標,訂定作業流程目標。
資訊安全工作小組應每年檢視與評估本公司之資訊安全管理目標,提出修訂建議,提請本公司資訊安全管理委員會審查核准。資訊安全管理目標檢視與評估重點包括:
1.業務(資訊)服務機密性、完整性、可用性及合規性。
2.資訊安全管理事故之處理。
3.資訊基礎設施、資訊系統與資料備份管理。
4.帳號通行碼設定管理。
5.經媒體揭露之資通安全事故之管理。
6.營運持續維運計畫演練之管理。
7.非計畫性之營運中斷時間之管理。