一、目的
為維護擁樂數據服務股份有限公司(以下簡稱本公司)所屬資訊資產之機密性、完整性及可用性,並符合相關法規之要求,保障使用者資料隱私,使其免於遭受內、外部的蓄意或意外威脅。
本公司整合各層級部門資通安全目標,建立本公司整體資通安全政策目標如下:
- 保護本公司業務活動資訊,避免未經授權存取,確保機密性。
- 保護本公司業務活動資訊,避免未經授權修改,確保正確完整性。
- 建立資訊業務永續運作計畫,維持本公司業務持續運作,確保可用性。
- 本公司之業務執行符合相關法規之要求,確保法規遵循性。
您確知並同意本政策與書面之同意具備相同效力。舉凡您存取、使用或透過本網站提供個人資料時,即表示您已詳閱本政策聲明之內容,並同意本政策中所述之做法。
如果您對本網站的隱私權聲明、以下相關告知事項或與個人資料保護相關之事項有任何疑問,可以和本網站客服中心聯絡,本公司將儘快回覆說明。
資安通報信箱:security@commeet.co
二、適用範圍
本政策適用於本公司人員、委外服務廠商與訪客,皆應遵守本政策,以及資通訊安全之相關作業規範管理事宜。
為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,資通訊安全管理除透過「適用性聲明」、「文件管理程序書」、「資通安全稽核管理程序書」、「矯正預防管理程序書」外,亦依循下列程序書管理各事項:
- 資通安全政策訂定與評估(資通安全政策、資通安全目標管理程序書、組織全景分析程序書)。
- 資通安全組織(資通安全組織管理程序書)。
- 人員資通安全管理與教育訓練(人力資源安全管理程序書)。
- 重要資通資產分類與管制(資訊資產管理程序書)。
- 風險鑑別管控(資通安全風險管理程序書)。
- 存取控制安全(存取管制與密碼管理程序書)。
- 實體與環境安全(實體與環境安全管理程序書)。
- 作業安全管理(作業安全管理程序書)。
- 網路安全管理(網路安全管理程序書)。
- 資訊系統獲取、開發與維護之安全(系統發展與維護管理程序書)。
- 供應商服務管理(供應商關係管理程序書)。
- 資通安全事件之反應及處理(資通安全事件管理程序書)。
- 業務永續運作管理(業務持續管理程序書)。
- 相關法規與本公司政策之符合性(法規遵循管理程序書)。
三、權責
為落實執行本公司資通安全政策,權責劃分如下:
- 本公司設置資通安全委員會,由公司管理高層指定一員任資通安全長,該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查。
- 資通安全委員會下設置資通安全工作小組,由資通安全長指定專人擔任管理代表,配合本公司資通安全需求制修訂各階管理程序文件,維持本公司資通安全管理系統之有效運作,每年應至少一次將資通安全工作執行成果,陳報資通安全委員會進行管理審查。
- 本公司各單位應遵循資通安全工作小組制定之相關資通安全規定。
- 本公司員工、本公司辦公場所以外之系統連線使用者及承接本公司業務之廠商,應遵循本公司資通安全政策及相關管理規定。
- 有任何危及資通安全之行為者,應依法負擔民事、刑事責任,並依本公司相關規定進行行政懲處。
四、名詞定義
- 資通安全
- 實現和維護資訊與通訊的機密性、完整性及可用性;亦能涉及如鑑別性、可歸責性、不可否認性及可靠性等性質。
- 機密性
- 資訊不得被未經授權之個人、實體或程序所取得或揭露的特性。
- 可用性
- 已授權實體在需要時可存取與使用之特性。
- 完整性
- 對資產之精確與完整安全保證的特性。
- 鑑別性
- 確保特定主體或資源之識別就是其所聲明者的特性。
- 不可否認性
- 對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。
- 可歸責性
- 確保實體之行為可唯一追溯到該實體的特性。
- 可靠性
- 確保預期行為與結果一致的特性。
五、文件版控記錄
| 版次 |
發行日期 |
修訂摘要 |
| 1.0 |
112.10.01 |
初次發行 |
| 1.1 |
112.12.28 |
調整頁碼及頁首 |
