信息安全目标

信息安全策略

1. 评估信息作业安全需求，建立相关程序、发展策略、管理框架及标准，以确保信息资产之机密性、完整性及可用性。
2. 建立本公司信息安全组织及分工权责，俾利推行信息安全作业。
3. 制定本公司信息安全事件等级评估准则，以执行各项应办事项。
4. 建立信息安全事件通报应变机制，以确保资安事件尽速妥善响应、控制及处理，并降低事件影响范围及灾损。
5. 定期提升员工信息安全意识，以减少人为所造成信息安全灾害。

 

本公司将执行以下资讯安全管理措施，以达到资讯安全政策的目标：

1. 移动装置管理：确保所有移动装置均经过核准后才能接入本公司网络与操作环境。
2. 远距工作管理：规范所有远距工作的接入权限，以确保资讯安全。
3. 存取管制：建立完善的实体与逻辑存取管制，并记录所有使用者的存取轨迹。
4. 加密管理：对「机密」等级的数据、文件或信息进行加密保护。
5. 金钥管理：定期审查公司使用的金钥的有效性。
6. 实体安全：实行门禁管制，防止不当存取或对公司信息资产造成损害。
7. 桌面淨空政策：规范员工桌面上不应存放机密等级为「机密」的资讯。
8. 备份政策：根据可用性要求，对信息系统与信息进行备份，并进行定期的保存及还原测试。
9. 委外厂商资讯安全政策：确保委外厂商能满足资讯安全管理的需求，并对其进行必要的管理与稽核活动。
10. 认知与训练：所有员工须接受相关的资讯安全教育训练。
11. 资讯资产保护：为维持各部门运作所需的重要资讯资产，给予适当的保护。
12. 行政监督：各部门主管须确保本政策在该部门内的确实执行。
13. 通报及处置：对于资通安全事件，设立通报及处置流程。

本公司将持续改善和提升资讯安全管理制度，以应对未来可能面临的信息安全威胁，并确保我们的数据和系统能在安全的环境中运行。
我们期望所有员工共同维护本公司的资讯安全，并遵守本政策。