為提升公司及客戶的資訊安全等級,避免資安風險,本公司自2021年5月起建立和實施資訊安全管理制度,並在同年10月取得涵蓋全公司營運範圍的 ISO 27001:2013 資安管理系統驗證。
資訊安全政策
依據
- 資通安全管理法。
- ISO/IEC 27001:2013標準、CNS 27001國家標準。
目的
本公司為強化資訊安全管理,並藉此展現最高管理階層對資安管理之重視,本政策須與本公司之未來業務方向相關,並整合於各部門之日常業務內。並且,公司將提供適當資源,以符合ISMS管理系統各項要求及績效目標及區分適當之公司資安責任,確保資安管理之有效性,且對未能滿足標準之處持續進行改善。
適用範圍
- 本政策適用對象為本公司任用、聘任、聘用、約僱、臨時人員、派遣人員,接觸本公司資訊安全業務之相關單位、對本公司提供服務之廠商及第三方人員。
- 資訊安全管理系統(Information Security Management System,簡稱ISMS)實施範圍為本公司各業務流程衍生之資訊安全事項。
責任分配
- 本政策應由執行長核定。
- 管理階層應積極參與資訊安全相關活動,提供對資訊安全業務之支持。
- 管理階層對本政策、相關規範及績效負督導執行之責,並應對所有員工及相關外部各方公布與傳達。
- 除員工外,凡接觸業務資料之外部人員、委外服務廠商及訪客亦應遵守本政策及相關規範。
- 員工及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或資訊安全弱點並協助處理。
- 員工應遵守法令法規與本公司各項資訊安全規定,並有參加本公司舉辦各類資訊安全教育訓練之義務。
- 員工應認知其公司之資訊安全政策、其對資安管理系統之貢獻及未遵循資安管理系統要求事項之可能後果。
- 任何危及資訊安全之行為,將視情節輕重依本公司相關規定進行議處。
- 應藉由執行資訊安全管理系統之改善措施,以達到持續改進之目的。
資訊安全目標
為使本公司之資訊安全目標與資訊安全政策一致,特訂定以下可量測之風險評估項目為依據:
- 機密性(Confidentiality):確保所欲保護的資訊,避免未經授權的存取,或無意的洩漏。
- 完整性(Integrity):確保資訊內容與處理方法為正確與一致性。
- 可用性(Availability):確保經授權的使用者在需要時可取得資訊與使用設備。
- 法律遵循性(Legitimacy):確保所欲保護的資訊內容,遵循法令法規要求。
資訊安全政策審查
- 本政策每年審視一次,得視需要作調整以因應法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
- 本政策經執行長核定,於公告日施行,並以書面、電子或其他方式通知本政策適用人員,並於適用時提供本政策予相關利害關係者,修正時亦同。
雪喬 ISO27001 管理系統驗證證書
