Information Security Policy


1.目的
為確保本公司所屬之資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司之權益。

2.適用範圍
資訊安全管理涵蓋14項安全領域;避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害;管理事項如下:
2.1 資訊安全政策制定及評估
2.2 組織的資訊安全職責與分工
2.3 人力資源安全與教育訓練
2.4 資訊資產管理
2.5 存取控制與密碼管理
2.6 密碼管理
2.7 實體與環境安全
2.8 作業安全管理
2.9 網路安全管理
2.10 資訊系統取得、開發及維護
2.11 供應商安全管理
2.12 資訊安全事故管理
2.13 營運持續管理
2.14 遵循性(適法性)

3.依據
3.1 ISO/IEC 27001:2013 (Information technology-Security techniques-Information security management systems-Requirements)
3.2 ISO/IEC 27002:2013 (Information technology-Security techniques-Code of practice for information security management)
3.3 行政院所屬各機關資訊業務委外服務作業參考原則。
3.4 資通安全管理法。

4.資訊安全政策
為了促使本公司各項資訊安全管理制度能貫徹執行,特予聲明「資訊保護、全體動員、資通安全、人人有責」,以有效安全運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,並特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本公司之權益,並期許全體同仁均能了解、實施與維持,達到本公司營運的目標,資訊安全政策如下:
4.1 強化資安訓練,提升資安認知
督導員工落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全訓練,以提高資訊安全意識。員工如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。
4.2 落實資訊安全,確保持續營運
由本公司全體員工貫徹執行資訊安全管理制度,以保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核ISMS制度的工作,確保營運持續,達到永續經營的目的。

5.資訊安全政策內容
5.1 本公司各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法、資通安全管理法等)之規定。
5.2 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
5.3 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
5.4 建立主機及網路使用之管理機制,以統籌分配、運用資源。
5.5 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
5.6 建立重要資訊設備及環境安全防護措施。
5.7 明確規範網路系統之使用權限,防止未經授權之存取動作。
5.8 訂定資訊安全管理系統內部稽核計畫,定期檢視本公司推行資訊安全管理系統範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
5.9 訂定營運持續管理規定並實際演練,確保本公司業務持續運作。
5.10 本公司所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。
5.11 資訊安全管理系統文件化資訊應有明確之管理規範。

6.責任
6.1 本公司的管理階層建立及審查此政策。
6.2 資訊安全管理者透過適當的標準和程序以實施此政策。
6.3 所有人員與外部合約供應商,均須遵守本公司資訊安全管理制度(ISMS)所要求之各項程序以維護本政策各項規範。
6.4 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
6.5 所有人員與外部合約供應商,若蓄意違反本公司資訊安全規範及法令法規之行為,都將受到相關懲處或負法律之刑責。

7.審查
7.1 本政策應至少每年評估一次,以反應政府法令、技術及業務等最新發展現況,以確保它對於維持營運和提供適當服務的能力。
7.2 本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。

8.實施
本政策經資訊安全長(或資訊安全管理代表)核准後,於公告日施行,並以書面、電子或其他適當之方式通知本公司員工及與本公司連線作業之有關廠商,修正時亦同。

此文件最後更新於 2021 年 08 月 16 日

蹦世界數位創意股份有限公司