1. 目的
1.1 做為本公司資訊安全管理制度(以下簡稱ISMS)相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織(ISO)所訂定之持續改善P.D.C.A.循環流程管理模式,整合及強化資訊安全管理體系,建立制度化、文件化及系統化之管理機制,持續監督及審查管理績效,以落實資訊安全管理及業務持續營運之理念,並達到以下之目標:
1.1.1 建立、落實及維護資訊安全管理政策。
1.1.2 全面導入ISMS。
1.1.3 培訓資訊人力在資訊及通訊領域之安全專業能力。
1.1.4 強化資訊安全環境及資訊安全應變能力。
1.1.5 達成資訊安全管理政策量測指標。
1.2 確保本公司所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司所屬利害關係人之權益。
2. 適用範圍
2.1 本公司ISMS所涵蓋範圍內皆適用之。
2.2 資通安全管理涵蓋4項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
2.2.1 組織控制措施。
2.2.2 人員控制措施。
2.2.3 實體控制措施。
2.2.4 技術控制措施。
3. 安全管理政策
為了促使本公司ISMS能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒布資訊安全管理政策。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資訊安全管理政策,以確保本公司所有職員之資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
3.1 落實資訊安全,強化服務品質
由全體同仁貫徹執行ISMS,所有資訊作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核資訊安全管理制度的工作,強化服務品質,提升服務水準。
3.2 加強資安訓練,確保持續營運
督導全體同仁落實資訊安全管理工作,每年持續進行適當的資訊安全教育訓練,建立「資訊安全,人人有責」的觀念,促使同仁瞭解資訊安全之重要性,促其遵守資訊安全規定,藉此提高資訊安全智能及緊急應變能力,降低資訊安全風險,達持續營運之目標。
3.3 做好緊急應變,迅速災害復原
訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資訊系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。
4. 資訊安全管理目標
本公司執行ISMS需達成之資訊安全目標,應依據「ISMS-P-005資訊安全目標管理程序書」之相關規定辦理。
5. 資訊安全責任
5.1 本公司的管理階層負責建立及審查政策。
5.2 資訊安全管理者透過適當的標準和程序以實施本政策。
5.3 所有人員與契約委外廠商均須依照程序以維護資訊安全管理政策。
5.4 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。
5.5 任何蓄意違反資訊安全的行為將受到相關規範或法律行動。
6. 資訊安全管理制度(ISMS)
6.1 一般要求
本公司因應ISO 27001:2022資訊安全管理標準之要求,特制訂本政策作為整體ISMS之建置開發、實施操作、監控審查及持續改善之規範,並依據本公司業務活動與風險,以建立資訊安全管理政策及管理目標。
6.2 組織全景之鑑別
6.2.1 本公司應決定與本公司營運目的相關,且會影響ISMS預期成果之內部與外部議題,鑑別出與本公司所提供服務相關之利害關係者,以及這些利害關係者對本公司的需求與期望,並讓資訊安全長知悉以取得共識,用以客觀決定本公司ISMS之範圍。
6.2.2 應制定組織全景鑑別管理作業程序,用以系統化地鑑別本公司之核心業務與核心業務相關之利害關係者,以及這些利害關係者對本公司核心業務之需求與期望,並判別若無法達到需求與期望會對本公司造成何種程度之衝擊,並將上述評估及分析結果供資訊安全長用以決策ISMS之導入及驗證範圍。
6.3 ISMS之建置開發
6.3.1 建立ISMS
6.3.1.1 過程簡要說明
本公司係依照ISO 27001:2022標準之步驟建立ISMS,其過程簡要說明如下:
6.3.1.1.1 依據標準建議與主管機關之要求,成立本公司「資訊安全暨個人資料保護推動委員會」,並經核准頒布。
6.3.1.1.2 本公司ISMS以全機關為實施範圍,不因選擇之驗證範圍而有所差異。
6.3.1.1.3 頒布「資訊安全管理政策」,以說明本公司資訊安全管理政策、管理目標與執行方式。
6.3.1.1.4 進行風險評估作業,發掘資產與組織之安全弱點及其威脅與影響,並評估其風險等級,彙整成「風險評鑑報告」後,執行及追蹤「風險處理計畫」。
6.3.1.1.5 依據資訊安全管理政策與風險評估的結果,設定風險管理之實施範圍。
6.3.1.1.6 選擇適合實施之資訊安全管制目標與措施,並檢討確認其可行性與有效性。
6.3.1.1.7 將所選定之安全管制目標、管制措施、選用原因等資料記載於「適用性聲明(Statement of applicability)」文件中。
6.3.1.1.8 為貫徹資訊安全並持續改善,本公司將依實際需求適時檢討上述步驟,並做必要之變更修正。
6.3.1.2 本公司所有同仁與委外廠商派駐人員均須遵循本公司資訊安全管理政策與資訊安全目標,恪守ISMS各項作業流程、管理規範及相關法令法規之要求。故意或過失違反者,將視其違反情節及所造成之衝擊,依人事規章或委外契約予以懲處。
6.3.1.3 委外廠商在執行本公司委外業務時若有複委託之需求,應評估複委託業務相關之資安風險,並要求委外廠商依ISMS等相關規定對複委託委外廠商進行適當之監督與管理。
6.3.1.4 對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
6.3.1.5 應決定及建立與ISMS相關的內部與外部溝通之需求及準則,內容須包含:要溝通什麼、何時溝通、和誰溝通、應是誰溝通以及應實現哪種溝通過程,確保ISMS各項資安業務在內部適度的溝通與傳達,以利ISMS推動與管理。
6.3.1.6 應制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,要求同仁落實執行,並定期針對可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體進行風險評鑑,依據風險評鑑之結果選擇適切之控制措施,定期對同仁執行查核作業,確保使用可攜式資訊設備及儲存媒體之風險受到監控,降低機密資料外洩之風險。
6.3.2 ISMS之實施操作
6.3.2.1 應制定風險處理計畫,有系統地鑑別及陳述適當的管理措施、權責及優先順序,以便管理資訊安全風險。
6.3.2.2 實施風險處理計畫中所選定之控制措施,以對各項風險加以防禦與控制,包含實施既定管理計畫,以達到所設定之資訊安全目標。
6.3.2.3 應擬定安全控制措施有效性之量測指標與使用方法,以判斷所選控制措施以達資安目標所要求之程度。
6.3.2.4 人員所需實施訓練與認知計畫參閱第7.2.2節。
6.3.2.5 各項作業需遵照作業規範與程序執行,並不定期檢視與管理各項作業執行之狀況。
6.3.2.6 須定時衡量各項計畫目標執行狀況,並依據衡量結果適時調整相關控制措施與目標。
6.3.2.7 執行時所需之各項資源管理參閱第7.2節。
6.3.2.8 單位主管利用不定期巡視、內外部稽核或是單位人員所提出之建議事項回報,加速偵知各種安全事件並予以回應處理。
6.3.3 ISMS之監控審查
6.3.3.1 本公司採用下列監控方式確保ISMS所涵蓋範圍皆能安全無虞:
6.3.3.1.1 人員應定期及不定期巡視檢查各項設備及環境是否皆屬正常狀態。
6.3.3.1.2 利用攝影機監視各個地區人員出入狀況並錄影存證。
6.3.3.1.3 應設定、定期檢查及紀錄各項監控指標,以協助判斷安全事件,預防及立即處理安全事故之發生。
6.3.3.1.4 單位主管應隨時注意各項通報事件或人員工作執行狀況,進而決定相應的控制措施,必要時可將人員職務進行短期調動,避免發生系統失效或人為破壞事件。
6.3.3.1.5 配合定期執行之內部稽核,確認各種安全措施及控制程序是否如預期般實施。
6.3.3.1.6 隨時注意本公司所發生之資安事件,針對事件發生之成因及後果詳加評估,並配合矯正預防措施之執行,改善整體資安環境,降低資安事件發生之機率。
6.3.3.1.7 管理階層利用定期執行之「資訊安全暨個人資料保護推動委員會」或內部會議,討論目前可能存在的安全漏洞,並決定解決之道。
6.3.3.2 於「資訊安全暨個人資料保護推動委員會」中定期審查ISMS之有效性,並考慮安全稽核、事件、有效性量測及利害關係團體之建議及反映意見。
6.3.3.3 於「資訊安全暨個人資料保護推動委員會」中審查資訊安全風險、殘餘風險與可接受風險等級,並考慮組織、技術、單位營運目標及程序、已鑑別之威脅與外部事件(包括法令法規、契約義務及社會環境)之變化。
6.3.3.4 每年執行內部稽核,以確定是否有依據作業流程執行,且是否達到預期功能。
6.3.3.5 每年至少召開一次資訊安全管理審查會議,執行正式的ISMS審查,以確保範圍適當及ISMS過程之各項改善措施均已鑑別與實施。
6.3.3.6 應依據監控審查結果,適時修訂資訊安全管理制度文件,以符合資安政策、資安目標與各項資訊安全要求。
6.3.3.7 所有對ISMS有效性或績效有衝擊之活動與事件均須加以記錄。
6.3.4 ISMS之持續改善
本公司將定期進行下述工作:
6.3.4.1 利用風險評鑑及內外部稽核之結果進行整體資訊安全環境之改善。
6.3.4.2 採取適當矯正及預防措施,採用從其他單位或內部發生事件之安全經驗汲取教訓。
6.3.4.3 與相關機構就結果及各項措施進行溝通並徵詢意見。
6.3.4.4 必要時修改ISMS。
6.3.4.5 確保各項修改措施達到預期目標。