資訊安全政策

一、目的

確保四點設計有限公司(以下簡稱本公司)資訊系統服務正常且安全穩定的運作,規範本公司資訊安全管理制度最高指導方針,以確保資訊資產之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及符合相關法規之要求,降低資訊安全風險,進而保障資訊系統服務使用者之權益。

二、作業規範

2.1 原則

2.1.1 應考量相關法律規章及營運要求,進行資產風險評估(Risk evaluation),確認資訊作業安全需求,建立標準作業程序,並採取適當資訊安全控制措施,以確保資產安全。

2.1.2 為利推行資訊安全工作,應建立資訊安全組織並訂定其分工權責。

2.1.3 以人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。

2.1.4 資產存取權限之賦予,應依據業務需求並考量最小權限、權責區隔及審查。

2.1.5 建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理。

2.1.6 訂定營運持續計畫並定期演練,以確保資訊服務持續運作。

2.1.7 依據『資通安全管理法』、『個人資料保護法』與智慧財產權等相關法令規定,審慎處理及保護資訊資產、個人資料與智慧財產權。

2.1.8 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實度。

2.1.9 同仁如違反本政策與資訊安全相關規範,應依獎懲標準或相關法規辦理。其他人員違反資訊安全規定時,亦應依相關法律規定追究民刑事責任。

2.2 資訊安全目標制定與評估

2.2.1 共同保護資訊服務維運管理相關資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。

2.2.2 建立資訊安全管理流程與相關標準作業程序,加強同仁資訊安全意識,避免人為作業疏失與意外,以維持資訊服務符合機密性、完整性、可用性、適法性的持續運作。

2.2.3 應以營運策略方向制定資訊安全目標,使營運策略建構在資訊安全目標之上。資訊安全管理審查代表應將資訊安全目標明訂於「資訊安全目標與達成計畫暨評估表」。

2.3 資訊安全政策審查與布達

2.3.1 資訊安全管理審查代表每年審查政策與「資訊安全目標與達成計畫暨評估表」,以符合相關法令、技術、利害關係者(Interested Parties)期待,以及與營運策略連結。

2.3.2 資訊安全管理組應確保資訊安全要求皆被知悉,應識別須被布達「資訊安全宣言」的利害關係者,並留下布達與確認之紀錄。