壹、目的
亞太電信股份有限公司(以下簡稱本公司)為維護本公司營運之永續經營,遵循相關法令法規並保護本公司之資訊資產
(包括資訊、軟體、實體、人員及服務等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或 遺失等風險,以確保資訊資產之機密性、完整性、可用性之要求,並強化資訊與通信之資通安全管理制度,期以有效及合理
地降低本公司營運風險,特訂定資通安全政策(以下簡稱本政策)作為資通安全管理之準則與遵循依據。
貳、範圍
本政策適用於本公司各單位之全體同仁、委外廠商、第三方人員以及所有相關資訊資產之安全管理。
參、權責
一、 資安長、資安官
依「資通安全組織架構與職責作業流程管理辦法」之規範,維護資通安全管理制度相關政策及文件並轉呈或會簽
相關文件。
二、 資通安全組
依「資通安全組織架構與職責作業流程管理辦法」之規範,執行本公司資通安全管理制度之的相關活動。
肆、定義
一、 資訊安全:避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織和軟
硬體功能等,以確保公司資訊資產受到妥善保護;等同本公司所謂之資通安全或資安。
二、 資訊資產:凡本公司資產,如人員、文件、電子文件、服務設施、網路設施、通訊設施、軟體、硬體、媒體、建築
保護設施等皆屬之。
三、 機密性(Confidentiality):確保只有獲得合法授權的使用者可以存取資訊。
四、 完整性(Integrity):保障資訊與資通處理方法的正確與完整。
五、 可用性(Availability):確保獲得授權的使用者於有需求時能適時存取資通及相關資產。
伍、作業內容
一、 為達成本公司之任務目標及最高管理階層對資通安全之期許與要求,確保本公司資訊資產之安全,資通安全政策訂
為:
(一) 確保本公司相關業務資訊之機密性,防止本公司機敏性資訊及個人資料免於因內部或外部、蓄意或意外之
各種威脅與破壞,致業務資訊遭受竄改、揭露、破壞、遺失或終止服務等風險。
(二) 確保本公司相關業務資訊之完整性與可用性,並正確執行本公司作業與各項業務,以保護本公司之資訊資
產安全,確保本公司之設備及網路,不因各種威脅與破壞,而造成服務錯誤或中斷無法使用。
(三) 確保本公司資通安全管理制度運作持續正常。
二、 為達成上述資通安全政策目的,將相關目標訂定如下:
(一) 確保相關資通安全措施或規範符合政策與現行法令之要求,每半年至少進行一次資通安全稽核。
(二) 每年至少進行一次營運持續計畫之測試及檢核。
(三) 確保資訊資產受適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。
(四) 確保所有資通安全事件或可疑之安全弱點,皆依適當通報程序反應,並予以適當調查及處理。
(五) 確保本公司資通安全管理制度運作持續正常。
(六) 定期實施資通安全教育。
三、 資通安全管理事項
資通安全管理涵蓋11項管理領域事項,避免因人為疏失、蓄意或天然災害等因素,導致資訊不當使用、洩漏、竄
改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
(一) 資通安全政策訂定與評估。
(二) 資通安全組織。
(三) 資產管理。
(四) 人力資源管理。
(五) 實體與環境安全。
(六) 通訊與作業安全管理。
(七) 存取控制安全。
(八) 資通系統獲得、開發與維護之安全。
(九) 資通安全事故管理。
(十) 營運持續管理。
(十一) 相關法規與施行單位政策之遵循性。
四、 管理責任
(一) 本公司的管理階層應建立及審查此政策。
(二) 資通安全管理者透過適當的標準和程序以實施此政策。
(三) 所有人員、連線使用單位、簽約廠商和委外服務廠商等,須依據相關安全管理程序作業,以維護資通安全
政策。
(四) 所有人員負有報告資通安全事件和任何已鑑別出之安全弱點的之責任。
(五) 本公司所有人員應瞭解於工作期間所有取得之資訊皆為本公司之資產,未經允許,禁止做任何其他未授權
之使用。
(六) 本公司與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
(七) 本公司有人員若有任何違反本政策之行為,將依本公司之相關規定進行懲處,並視情節輕重追究其民事、
刑事及行政責任。
五、 管理審查
(一) 本政策應至少每年審查乙次,以反應政府法令法規、技術及業務等最新發展現況,以確保資通安全實務作
業確實遵守資通安全政策,和確保作業之可行性及有效性,以確保本公司提供資訊服務之能力。
(二) 資通安全管理者透過適當的標準和程序以實施此政策。
六、 資通安全政策之核准
資通安全政策經資通安全委員會主任委員核准後,呈總經理核定公布實施,修正時亦同。
| 文件編號 | ISMS-A0001-01 | 文件類別 | 資通安全管理制度 |
| 權責單位 | 資通安全組 | 文件密等 | 公開 |
| 發行日期 | 100年07月01日 | 版次 | V1.0 |