- 目的
- 璞藝資訊股份有限公司(以下簡稱本公司)為確保所屬之資訊資產的機密性、完整性及可用性,並保障使用者資料隱私,以符合相關法規之要求,免於遭受內、外部蓄意或意外之威脅,並衡酌本公司之業務需求,特訂定本政策。
- 適用範圍
- 為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險及危害。本政策適用範圍為本公司之全體人員、委外服務廠商與訪客,與提供之內、外部資訊服務。
- 組織全景
- 本公司決定與營運目的相關,且會影響資訊安全管理制度 (ISMS) 預期成果之內部與外部議題,鑑別出與本公司所提供服務相關之利害關係者,以及這些利害關係者對本司的需求與期望,以客觀決定本處ISMS之範圍。並制定組織全景鑑別管理作業程序,用以系統化地鑑別本公司之核心業務與核心業務相關之利害關係者,以及這些利害關係者對本校核心業務之需求與期望,並判別若無法達到需求與期望會對本公司造成何種程度之衝擊,並將評估及分析結果用以導入ISMS及其驗證範圍。
| 內部議題 | 利害關係者 | 關係者期望與要求 |
|---|
| 資安意職 | 內部人員 | 教育訓練 |
| 組織文化 | 內部人員 | 組織規範 |
| 人力資源 | 內部人員 | 預算、人事、組織規範 |
表:內部議題與關係者
| 外部議題 | 利害關係者 | 關係者期望與要求 |
|---|
| 符合政府單位要求 | 政府 | 法規、命令 |
| 資訊安全與隱私權保護 | 供應商 | 合約、ISO27001認證 |
| 資訊安全與隱私權保護 | 客戶 | 合約、ISO27001認證 |
| 服務不中斷 | 客戶 | 服務水準、合約 |
表:外部議題與關係者
- 政策
- 保護本公司業務安全,避免未經授權的存取,以確保資訊資產的機密性,並保障使用者資料隱私。
- 保護本公司業務安全,避免未經授權的修改,以確保資訊資產的正確性與完整性。
- 依照ISO 27001要求,建立本公司ISMS,進行風險管理,落實品質管理循環 (PDCA) 精神,以持續改善ISMS之有效性。
- 建立本公司業務永續運作計畫,以確保本處業務服務之持續運作。 確保本公司各項業務服務之執行須符合相關法規之要求。
- 責任
- 本公司應成立資通安全委員會,負責統籌資訊安全稽核、各項作業原則規劃,及資訊安全事項推動。
- 管理階層應積極參與及支持資訊安全管理制度,並授權資訊安全組織透過適當的標準和程序以實施本政策。
- 適用範圍內之組織與人員皆應遵守相關安全管理程序以維護本政策。
- 適用範圍內之組織與人員均有責任透過適當通報機制,通報資訊安全事件或弱點。
- 審查
- 本政策應定期每年審查,檢視落實狀況,以確保有效性,並符合相關法規、合約、關注方及本公司資訊安全要求。當組織或業務發生重大改變時應主動進行審查。
- 發佈
- 本政策應定期公告週知,確保適用範圍內之組織、人員及利害關係人瞭解相關規定。
- 實施
- 本政策經「資通安全委員會召集人」核定後實施,修訂時亦同。
