資通安全政策
強化本公司的資訊安全管理,建立「集品資安 玩美執行」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務。
- 主題特定政策
-
存取控制
- 限制對資訊及資訊處理設施之存取。
- 確保授權使用者得以存取,並避免系統及服務的未授權存取。
- 令使用者對保全其鑑別資訊負責。
- 防止系統及應用遭未經授權存取。
-
實體及環境安全
- 防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
-
資產管理
- 識別組織之資產並定義適切之保護責任。
- 確保所有資產依其對組織之重要性,受到適切等級的保護。
- 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
-
資料傳送
- 確保資料傳送可追溯性及不可否認性。
- 維持傳送作業之可靠性及可用性。
- 實體傳送使用破壞存跡或抗破壞之控制措施。
- 使用規定之電子傳輸媒體傳遞資料,不可因貪圖方便而任意使用非法與不當之傳輸媒體。
- 不得利用任何傳輸媒介透過資料傳遞、訊息傳送、發言或視訊等方式透露機密或敏感性資訊給其他組織或人員。
- 內部資訊網站須依權責及工作需求核發適當權限,以管制相關文件之存取。
-
端點裝置之安全組態及處置
- 對使用者端點裝置分發及回收。
- 對使用者端點裝置軟體安裝進行控制。
- 對使用者端點裝置進行安全性更新。
- 使用者端點裝置經登入程序使用。
- 防範惡意軟體對使用者端點裝置危害。
- 管制私人裝置使用。
-
網路安全
- 網路使用者經授權後,只能在授權範圍內存取網路資源。
- 對使用網路系統的電腦連接線路,應適當加以控制,以減少未經授權之系統存取或電腦設施的風險。
- 設定網路區隔之規劃,應遵循內外網路實體區隔規定,並應禁止個人無線網路裝置破壞內外網路實體區隔之安全機制。
- 非經授權嚴禁使用無線網路及私有有線設備與網路介接。
-
資訊安全事故管理
- 確保對資訊安全事故之管理的一致及有效作法,包括對安全事件及弱點之傳達。
- 建全資訊安全事故通報體系。
-
資訊備份
- 依照資訊之可用性及完整性需求,制定個資訊備份週期、方式及保存期限,並測試其有效性。
- 依照備份資料之機密性需求加以防護,避免衍生之其他資安事件。
-
密碼學
- 依照法規、客戶要求及資訊資產風險設置加密機制。
- 管制金鑰產生、分派啟用、儲存、更新、廢止到封存和銷毀等作業。
-
資訊分類分級及處理
- 資訊標示涵蓋所有格式的資訊及其他相關聯資產。
- 使人員及其他關注方認知標示要求。
- 提供所有人員必要之認知方法,以確保正確標示資訊並進行相對應的處理。
-
技術脆弱性管理
- 定義並建立與技術脆弱性管理相關聯之角色及責任。
- 偵測其資訊資產是否存在脆弱性。
- 軟體更新管理過程,以確保對所有獲授權軟體,安裝最新經核可之修補程式及應用程式之更新套件。
- 使用適合所使用技術之弱點掃描工具,以識別脆弱性並查證脆弱性修補是否成功。
-
保全開發政策
- 確保資訊安全係跨越整個生命週期之整體資訊系統的一部分。此亦包括經由公共網路提供服務之資訊系統的要求事項。
- 當發展新資訊系統,或現有系統功能之強化,於系統規劃需求分析階段,即將安全需求要項納入系統功能。
-
適用性聲明書
依據「ISO 27001資訊安全管理系統-要求」要求產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,資訊安全管理委員應重新定義控制措施之適用性。
-
實施
本政策即刻實施,修訂時亦同。