ISO27001
資訊安全政策聲明
資訊安全政策聲明
- 適用範圍
- 本公司所有單位。
資訊安全管理涵蓋4類控制措施、93項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
-
-
- 組織控制措施:
- 資訊安全政策。
- 資訊安全之角色及責任。
- 職務區隔。
- 管理階層責任。
- 與權責機關之聯繫。
- 與特殊關注群組之聯繫。
- 情資威脅。
- 專案管理之資訊安全。
- 資訊及其他相關資產之清冊。
- 可接受使用資訊及其他相關聯資產。
- 資產之歸還。
- 資產之分類分級。
- 資訊之標示。
- 資訊傳送。
- 存取控制。
- 身分管理。
- 鑑別資料。
- 存取權限。
- 供應者關係中之資訊安全。
- 於供應者協議中闡明資訊安全。
- 管理ICT供應鏈中之資訊安全。
- 供應者服務之監視、審查及變更管理。
- 使用雲端服務之資訊安全。
- 資訊安全事故管理規劃及準備。
- 資訊之評鑑及決策。
- 對資訊安全事故之回應。
- 由資訊安全事故中學習。
- 證據之蒐集。
- 中斷期間之資訊安全。
- 營運持續之ICT備妥性。
- 法律、法令、法規之契約要求事項。
- 智慧財產權。
- 紀錄之保護。
- 隱私及個人可識別資訊(PII)保護。
- 資訊安全之獨立審查。
- 資訊安全政策、規則及標準的遵循性。
- 書面紀錄之運作程序。
- 人員控制措施:
- 篩選。
- 聘用條款及條件。
- 資訊安全認知、教育和訓練。
- 獎懲過程。
- 聘用終止或變更後之責任。
- 機密性或保密協議。
- 遠端工作。
- 資訊安全事件通報。
- 實體控制措施:
- 實體安全周界。
- 實體進入。
- 保全辦公室、房間及設施。
- 實體安全監視。
- 防範實體及環境威脅。
- 於安全區域內工作。
- 桌面淨空及螢幕淨空。
- 設備安置及保護。
- 場所外資產之安全。
- 儲存媒體。
- 支援公用服務事業。
- 佈纜安全。
- 設備維護。
- 設備汰除或重新使用之保全。
- 技術控制措施:
- 使用者終端設備。
- 特殊存取權限。
- 資訊存取限制。
- 對原始碼之存取。
- 安全識別。
- 容量管理。
- 防惡意軟體。
- 技術脆弱性管理。
- 組態管理。
- 資料刪除。
- 資料遮蔽。
- 資料洩漏預防。
- 資料備份。
- 資訊處理設施之備援。
- 日誌紀錄。
- 監視活動。
- 鐘訊同步。
- 具特殊權限共用程式之使用。
- 對運作中系統之軟體安裝。
- 網路安全。
- 網路服務的安全性。
- 網路區隔。
- 網頁過濾。
- 加密技術之使用。
- 開發生命週期之安全。
- 應用程式安全要求。
- 安全系統架構及工程原則。
- 安全程式設計。
- 開發和驗收中的安全測試。
- 委外開發。
- 開發、測試及運作環境之區隔。
- 變更管理。
- 測試資訊。
- 在稽核測試期間的資訊系統保護。
- 組織控制措施:
-
本公司之內部人員、委外服務廠商與訪客皆應遵守本政策。
- 定義
- 資訊資產:係指為維持本公司資訊業務正常運作之硬體、軟體、服務、文件及人員。
- 營運持續運作之資訊環境:係指為維持本公司各項業務正常運作所需之電腦作業環境。
- 資訊安全政策及目標
- 資訊安全政策
建立安全可信賴之電子化作業環境,確保資料使用安全,並使各項業務之資訊化作業得以持續不間斷運作,避免資訊遭受不當揭露,維持內部制度管理之有效性。
-
- 資訊安全目標
為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目標:
-
-
- 保護本公司業務活動資訊,避免未經授權的存取。
- 保護本公司業務活動資訊,避免未經授權的修改,確保其正確完整。
- 維持資訊系統持續運作確保本公司具備可供業務持續運作之資訊環境。
- 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
- 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
- 實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
- 本公司之業務活動執行須符合相關法令或法規之要求。
-
創璟應用整合有限公司(以下簡稱本公司)為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。