ISO/IEC 27001
國際標準組織 (ISO) 是獨立的非政府國際組織,旗下國際會員有 163 個國家級標準機構。ISO/IEC 27000 系列標準可協助機構確保資訊資產的安全。
ISO/IEC 27001:2022 概述及提供關於資訊安全管理系統 (ISMS) 的規定,同時指明一組最佳做法,並詳細說明有助於管理資訊風險的安全控管措施。
智電系統的通用基礎架構已通過認證,確定符合 ISO/IEC 27001:2022 標準。考量業務需求,特訂定資訊安全政策及相關標準作業程序,以建立資訊安全管理機制、強化資訊安全防護,提昇資訊安全之水準。
- 組織:
為統籌資訊安全管理等事項之協調、規劃、稽核及推動,特成立跨部門之資訊安全推動組織幕僚作業由資安處理組負責,並依下列分工原則,配賦相關單位及人員權責:
- 資訊安全管理政策、計畫及技術規範之研議、建置及評估等事項,由資安處理組負責辦理。
- 資料及資訊系統之安全需求研議、管理、有效性量測及保護等事項,由資安處理組負責辦理。
- 資訊機密維護及安全稽核等事項,由資安處理組會同內部稽核組負責辦理。
- 實施內容
- 各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、個人資料保護法、專利法、著作權法、政府採購法、營業秘密法、勞動基準法等)之規定。
- 由資安處理組負責資訊安全制度之建立及推動事宜。
- 定期實施資訊安全教育訓練、宣導資訊安全政策及相關實施規定。
- 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
- 建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
- 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
- 訂定資訊安全內部稽核計畫,定期檢視個人電腦使用情形。
- 訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
- 所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。
為使本公司業務順利運作,防止資訊或資訊系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循。
- 應建立資訊安全風險管理機制,定期因應內外在資訊安全情勢變化,檢討資訊安全風險管理之有效性。
- 應保護本公司所提供軟硬體系統機敏資訊及資訊系統之機密性與完整性,避免未經授權存取與竄改。
- 應強固核心資訊系統之韌性,確保本公司業務持續營運,以達成永續發展目標。
- 因應資訊安全威脅情勢變化,辦理資訊安全教育訓練,以提高同仁之資訊安全意識,同仁亦應確實參與訓練。
- 確保本公司資訊系統安全,防範資安攻擊事件發生。
- 應訂定核心資訊系統復原計畫,以確保各種人為或天然災害發生時,核心業務可持續運作。
- 落實人員辦理業務涉及資訊安全事項之獎懲機制。
各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
114年10月7日發布
