更新日期:2022/04/22 版次:1.4

1. 目的

為確保百加資通股份有限公司(以下簡稱本公司)所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司之權益。

2. 適用範圍

資訊安全管理涵蓋14項管理事項。避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:

2.1. 資訊安全政策制定及評估

2.2. 組織的資訊安全職責與分工

2.3. 人力資源安全與教育訓練

2.4. 資訊資產管理

2.5. 存取控制與密碼管理

2.6. 密碼管理

2.7. 實體與環境安全

2.8. 作業安全管理

2.9. 網路安全管理

2.10. 資訊系統取得、開發及維護

2.11. 供應商安全管理

2.12. 資訊安全事故管理

2.13. 營運持續管理

2.14. 遵循性(適法性)

3. 依據

3.1. ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)

3.2. ISO/IEC 27002:2022 (Information technology — Security techniques — Code of practice for information security management)

3.3. 國家資通訊安全發展方案(110年至113年)

3.4. 建立我國資通訊基礎建設安全機制計畫

3.5. 行政院國家資通安全會報之「各機關處理資通安全事件危機通報緊急應變作業注意事項」

3.6. 行政院國家資通安全會報之「各政府機關(構)落實資安事件危機處理具體執行方案」

3.7. 行政院國家資通安全會報之「各政府機關(構)資訊安全責任等級分級作業施行計畫」

3.8. 行政院國家資通安全會報技術服務中心之「資通安全管理制度導入手冊」

3.9. 行政院所屬各機關資訊業務委外服務作業參考原則。

3.10. 行政院資通安全管理法。

4. 政策

為了促使本公司各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本公司之權益,並期許全體同仁均能了解、實施與維持,達到本公司營運的目標。

4.1. 強化資安訓練,提升資安認知

督導員工落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全訓練,以提高資訊安全意識。員工如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。

4.2. 落實資訊安全,確保持續營運

由本公司全體員工貫徹執行資訊安全管理制度,以保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核ISMS制度的工作,確保營運持續,達到永續經營的目的。

5. 資訊安全目標

本公司執行資訊安全管理制度需達成之資訊安全目標,詳如「I-2-02資訊安全目標管理程序書」之相關規定。

6. 資安責任

6.1. 本公司的管理階層建立及審查此政策。

6.2. 資訊安全管理者透過適當的標準和程序以實施此政策。

6.3. 所有人員與合約供應商均須依照程序以維護資訊安全政策。

6.4. 所有人員有責任報告安全事件,和任何已鑑別出的弱點。

6.5. 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。

7. 資訊安全管理制度(ISMS)

7.1. 一般要求

本公司因應ISO27001:2013資訊安全管理制度(ISMS)之要求,特制訂本政策作為整體資訊安全管理制度(ISMS)之建置開發、實施操作、監控審查及持續維持改進之規範,並依據本公司業務活動與風險,以建立資訊安全政策及目標。

7.2. 組織全景之鑑別

7.2.1. 本公司應決定與本公司營運目的相關,且會影響資訊安全管理制度(ISMS)預期成果之內部與外部議題,鑑別出與本公司所提供服務相關之利害關係者,以及這些利害關係者對本公司的需求與期望,並讓管理階層知悉並取得共識,用以客觀決定本公司資訊安全管理制度(ISMS)之範圍。

7.2.2. 應制定組織全景鑑別管理作業程序,用以系統化地鑑別本公司之核心業務、與核心業務相關之利害關係者以及這些利害關係者對本公司核心業務之需求與期望,並判別若無法達到些需求與期望會對本公司造成何種程度之衝擊,並將上述評估及分析結果提供管理階層用以決策ISMS之導入及驗證範圍。

7.3. 資訊安全管理制度(ISMS)之建立與管理

7.3.1. 建立資訊安全管理制度(ISMS)

7.3.2. 資訊安全管理制度(ISMS)之實施及操作

7.3.3. 資訊安全管理制度(ISMS)之監控及審查

7.3.4. 維持及改善資訊安全管理制度(ISMS)

7.4. 文件要求

7.4.1. 一般要求

本公司資訊安全管理制度(ISMS)文件化包括下列各項:

7.4.1.1. 安全政策與安全目標之書面聲明。

7.4.1.2. 資訊安全管理制度(ISMS)適用範圍及各項作業程序。

7.4.1.3. 風險評鑑報告。

7.4.1.4. 風險處理計畫。

7.4.1.5. 組織為確保有效規劃、操作及控制資訊安全過程所需之文件。

7.4.1.6. 適用性聲明書。

7.4.2. 文件管制

7.4.2.1. 在文件發行前核准其適切性。

7.4.2.2. 必要時,審查與更新並重新核准文件。

7.4.2.3. 確保文件之變更與最新改訂狀況已予鑑別。

7.4.2.4. 確保在使用場所備妥適用文件之相關版本。

7.4.2.5. 確保文件易於閱讀並容易識別。

7.4.2.6. 確保文件於需使用時能隨時取用,並且於文件傳遞、保存及毀棄時皆能遵守文件管制規定辦理。

7.4.2.7. 確保外來原始文件已加以鑑別。

7.4.2.8. 防止作廢(失效)文件被誤用,作廢文件為任何目的需保留時,應予以適當鑑別。

7.4.3. 紀錄管制

7.4.3.1. 為確保資訊安全管理制度(ISMS)符合本公司要求及提供有效運作之證據,應建立及維持執行資訊安全管理制度(ISMS)各項作業程序之各項紀錄,並予以管制,並將相關法律法規及合約要求列入考量。

7.4.3.2. 紀錄應妥善保存。

7.4.3.3. 所需之紀錄及其範圍應由管理過程加以決定。該過程應記錄重大決定,並將紀錄之用途及缺少紀錄時相關之風險列入考量。

8. 管理階層責任

8.1. 管理階層承諾

為使資訊安全管理制度(ISMS)推動順利,管理階層應確實執行下列事項:

8.1.1. 建立資訊安全政策、資訊安全目標及計畫。

8.1.2. 成立資訊安全管理委員會,以明訂及文件化資訊安全之角色與責任。

8.1.3. 各單位主管應儘量藉由各種內部公開會議或集會時,向所有人員宣達符合資訊安全目標、法律及法規要求之重要性,以及持續改進之需求。

8.1.4. 提供充分資源,確保能建立、實施操作、監控審查及持續維持改進資訊安全管理制度(ISMS)。

8.1.5. 定期執行資訊安全管理制度(ISMS)之內部稽核作業。

8.1.6. 定期召開資訊安全管理制度(ISMS)之管理階層審查會議。

8.1.7. 決定風險評鑑後之可接受風險等級。

8.2. 資源管理

8.2.1. 為確保資訊安全管理制度(ISMS)執行無礙,應決定並提供工作之必要資源。

8.2.2. 為確保所有同仁皆有能力執行所要求之工作與符合各項安全要求,應藉由各種途徑取得協助同仁執行教育訓練。

9. 內部稽核

每年定期執行內部稽核,確保資訊安全管理制度(ISMS)的各項管制目標、控制措施、運作過程以及各項程序是否符合要求。

10. 資訊安全管理制度(ISMS)之管理階層審查

本公司資訊安全管理委員會至少每年召開一次會議,針對本公司現行之資訊安全管理制度(ISMS)進行審查。以確保相關程序的適用性、適切性及有效性皆符合本公司需求。並評估相關政策與目標的改進時機評估,或是其他的變更需求。審查結果應留下相關文件與紀錄備查。

11. 資訊安全管理制度(ISMS)之改進

11.1. 本公司經由資訊安全政策、安全目標、內外部資訊安全稽核結果、事件監控之分析、矯正與預防措施以及管理階層審查,由單位資訊安全人員負責所有風險發生或不符合事項之監控,並追蹤相關業務承辦人之改善情形,以持續改進資訊安全管理制度(ISMS)之有效性。

11.2. 本公司採取適當的控管措施,以減低資訊安全管理制度(ISMS)在建置、操作及使用時所產生的不符合事項,以防止再度發生。

11.3. 本公司應採取適當的控管措施,以預防降低潛在不符合事項發生之機會,預防措施應能預防潛在問題所可能發生之影響。

12. 審查

12.1. 本政策應定期評估檢討,以反映本公司資訊安全需求、政府法令法規、外在網路環境變化及資安技術等最新發展現況,以確保它對於維持營運和提供適當服務的能力。

12.2. 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。

13. 實施

本政策經管理代表核准,於公告日施行,並以書面、電子或其他方式通知本公司所屬職員及與本公司連線作業之有關機關(構)、廠商,修正時亦同。