Information Security Policy資訊安全政策

發行日期 2022.02.15 ver2.0

資訊安全政策及目標

維護本司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由本司全體同仁共同努力來達成下列目標:

一、資訊安全政策

為使本司業務順利運作,防止資訊或資訊業務受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 定期因應內外在資訊安全情勢變化,檢討資訊安全風險管理之有效性。
  2. 針對各資料的機密性與完整性應妥善保護,避免資料遭竄改,明確規範資訊系統及網路服務之使用權限,防止未經授權之存取行為。禁止多人共用同一帳號。
  3. 建立資訊安全防護(如:防火牆、防毒軟體)。
  4. 辦理資訊安全教育訓練,提升同仁資訊安全意識。
二、資訊安全目標
  1. 資訊安全政策應定期進行評估,以反映資訊安全管理、法令、技術及本司業務之最新狀況,並確保本司資訊安全實務作業之可行性及有效性,管理審查會議每年至少召開一次。
  2. 保護本司業務服務之安全,確保資訊需經授權,人員才可存取,以確保其機密性、完整性。核心業務系統遭未經授權存取之事件,每年發生次數不得超過 0 次。
  3. 外部網路入侵事件一年不超過3次。
  4. 每年依本司全體人員之工作職務、責任,適當授與資訊安全相關訓練,一般使用者與主管,每人每年三小時以上之一般資訊安全教育訓練。