博暉科技導入資訊安全政策ISMS
壹、目的
博暉科技股份有限公司(以下簡稱本公司)為確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資訊安全管理系統,特訂定資訊安全政策(以下簡稱本政策),以確保資訊之機密性、完整性與可用性。
機密性:確保只有經授權的人才能存取資訊。
可用性:確保經授權的使用者在需要時可以存取資訊及相關資訊資產。
貳、依據
ISO/IEC 27001:2013 (Information technology – Security techniques – Information security management systems – Requirements)。
參、內容
建立組織資訊安全推行小組,負責推動資訊安全工作。
評估人員之任免、職務之分派,對離職、休職、停職或調職之人員,應建立控管及人力備援制度;另定期辦理資訊安全教育訓練及宣導,提升人員資訊安全認知及水準。
建立資訊資產的保管制度,有效分配、運用及管理資訊資源。
考量建築物之防害、防竊設計,重要設施及特殊場所應加強管制。
提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。
評估資訊資產之安全等級,並賦予相關人員適當存取權限。
電腦系統之新增或變更作業建立控管制度並完整記錄,以備查核。
建立資訊緊急處理機制與災營運持續演練計畫,並定期操演、測試紀錄。
訂定資訊安全稽核制度,各項電腦系統安全進行定期或不定期之稽核作業,且嚴禁刪除及修改各項稽核紀錄檔案。
遵循主管機各項作業規範及適時更新相關資訊法規以符合法令依據。
肆、修訂與公告
本政策由「資訊安全推行小組」每年定期審議,另組織、業務、法令或實體環境等因素之變迭時,予以適當修訂。本政策經 召集人核定後公布施行,修正時亦同。
