資訊安全政策及具體管理方案

資訊安全政策及具體管理方案

1. 資訊安全政策:

1.1 資訊安全願景:

鼎元光電科技股份有限公司(以下簡稱本公司),為強化資訊安全管理,確保企業資料、系統、設備及網路安全,核心業務相關資訊財產的機密性、完整性及可用性,以提供資訊系統持續運作之資訊安全環境,並符合相關法規之要求,免於遭受內、外部的蓄意或意外之威脅,或內部人員不當之管理使用,導致資料遭受竄改、揭露、破壞或遺失等風險,特定此政策規範。

1.2 資訊安全目標:

1.2.1   確保核心業務的資料安全性、可用性及資料的完整性、服務的持續運作。
1.2.2   落實使用者平台開發及維護、機房管理、委外管理之管理辦法與標準作業程序。
1.2.3   資訊安全全景與範圍應對應公司重要業務流程之要求與持續營運。
1.2.4   定期實施資訊安全事項教育宣導,推廣同仁資訊安全觀念與強化相關資訊安全責任之認知。
1.2.5   員工依據各管理辦法及作業程序書進行作業,以維持本公司正常運作。
1.2.6   資訊業務活動執行須符合相關法令或法規之要求。
1.2.7   實施定期監控與資訊安全內部稽核制度,確保資訊安全管理落實執行於日常維運及業務活動。
1.2.8   本政策至少每年經「資訊安全委員會」評估一次,以符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

1.3 資訊安全管理架構:

由總經理為召集人,並指派執行秘書負責統籌資訊安全及相關事宜,並由查核小組依稽核計劃進行內部稽核。

 

資訊安全管理架構

 

1.3.1 資訊安全推動小組組織:

召集人

成員:由總經理擔任。

職責:綜理資訊安全推動小組事務。

執行秘書

成員:由資訊安全推動小組召集人指派。

職責:負責資訊安全管理業務及擔任ISMS之管理者,並協助安排資訊安全推動小組會議之進行。

資訊安全管理小組

成員:由資訊單位主管及其指派之代表組成。

職責:公司資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理審查會議提報。協調內部稽核時程安排,監督稽核執行與矯正預防改善措施。宣導及教育同仁遵循資訊安全推動小組之決議並與涉及單位溝通與協調。

緊急處理小組

成員:由各關鍵業務負責人擔任。

職責:當重大資訊安全事件發生時,負責發展、維護、更新及執行各項災害復原程序。

查核小組

成員:由稽核室主管指派之代表及資訊單位主管指派之代表組成。

職責:負責訂定資訊安全相關稽核計畫、執行稽核作業與追蹤相關不符合事項之矯正預防措施。

1.4 相關會議時數及相關人員總數:

資安相關人員總數:3人

相關會議時數:35小時

 

2. 具體管理方案:

2.1   本公司高階主管積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
2.2   提供員工資訊安全訓練課程,提昇員工資訊安全認知。
2.3   辦理資訊業務委外作業時,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期予以查核。
2.4   所有員工皆應遵守本公司資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
2.5   保護本公司業務活動資訊,避免未經授權的存取與修改,以確保其正確完整性。
2.6   任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。
2.7   確保公司資訊安全,網際網路端架設入侵防護服務,阻絕網路型病毒及入侵攻擊,及透過企業防火牆的建置,進一步阻擋病毒及入侵攻擊於公司內部網路之前。
2.8   為防範電腦病毒之侵襲,企業使用之電腦設備安裝防毒程式,並定期更新相關病毒碼及掃毒引擎及更新作業系統漏洞修正程式。
2.9   落實企業營運系統資料備份、保存及備份資料可用性測試。