資通訊安全政策
韜睿軟體對「資通訊安全」非常重視,為了提供更安全的服務給予我們的客戶,我們將其視為公司經營的首要關注事項之一,特定以下資通訊安全政策:
目的
為確保韜睿軟體有限公司(以下簡稱本公司)所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司之權益。
適用範圍
本公司資通訊安全管理範疇涵蓋「組織與經營」、「鑑別與保密」、「實體與系統」及「人員意識」等四大面向控制措施,以避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險。
依據
- ISO/IEC 27001:2022(Information security, cybersecurity and privacy protection − Information security management systems – Requirements)
- ISO/IEC 27002:2022(Information security, cybersecurity and privacy protection – Information security controls)
- 資通安全管理法
- 資通安全管理法施行細則
政策
為了促使本公司各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本公司之權益,並期許全體同仁均能了解、實施與維持,達到本公司營運的目標。
- 強化資安訓練,提升資安認知:
督導員工落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全訓練,以提高資訊安全意識。員工如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。 - 落實資訊安全,確保持續營運:
由本公司全體員工貫徹執行資訊安全管理制度,以保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核ISMS制度的工作,確保營運持續,達到永續經營的目的。
資訊安全目標
- 組織與經營面:防範資訊安全風險之威脅發生,減輕資訊安全事件之發生影響。
- 鑑別與保密面:鑑別機敏資料,進行加密與隱碼,確保資料機密不洩露,與不當使用及存取。
- 系統實體面:虛擬與實體環境身份驗證機制,建立備援制度,提高資訊設備及系統之可用性,確保資訊系統正常運作。
- 人員意識面:定期宣導資訊安全政策,讓全體員工了解於資訊安全制度上應該遵守之責任及義務。
資安責任
- 本公司的管理階層建立及審查此政策。
- 資訊安全管理者透過適當的標準和程序以實施此政策。
- 所有人員與合約供應商均須依照程序以維護資訊安全政策。
- 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
- 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。
管理階層責任
- 管理階層承諾:為使資訊安全管理制度(ISMS)推動順利,管理階層應確實執行下列事項:
- 建立資訊安全政策、資訊安全目標及計畫。
- 成立資訊安全管理委員會,以明訂及文件化資訊安全之角色與責任。
- 各單位主管應儘量藉由各種內部公開會議或集會時,向所有人員宣達符合資訊安全目標、法律及法規要求之重要性,以及持續改進之需求。
- 提供充分資源,確保能建立、實施操作、監控審查及持續維持改進資訊安全管理制度(ISMS)。
- 定期執行資訊安全管理制度(ISMS)之內部稽核作業。
- 定期召開資訊安全管理制度(ISMS)之管理階層審查會議。
- 決定風險評鑑後之可接受風險等級。
- 資源管理
- 為確保資訊安全管理制度(ISMS)執行無礙,應決定並提供工作之必要資源。
- 為確保所有同仁皆有能力執行所要求之工作與符合各項安全要求,應藉由各種途徑取得協助同仁執行教育訓練。
紀錄管制
- 為確保資訊安全管理制度(ISMS)符合本公司要求及提供有效運作之證據,應建立及維持執行資訊安全管理制度(ISMS)各項作業程序之各項紀錄,並予以管制,並將相關法律法規及合約要求列入考量。
- 紀錄應妥善保存。
- 所需之紀錄及其範圍應由管理過程加以決定。該過程應記錄重大決定,並將紀錄之用途及缺少紀錄時相關之風險列入考量。
審查
- 本政策應定期評估檢討,以反映本公司資訊安全需求、政府法令法規、外在網路環境變化及資安技術等最新發展現況,以確保它對於維持營運和提供適當服務的能力。
- 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。
實施
本政策經管理代表核准,於公告日施行,並以書面、電子或其他方式通知本公司所屬職員及與本公司連線作業之有關機關(構)、廠商,修正時亦同。