編號Minp-ISMS-1-01資訊安全政策等級一般
版次V1.0版本日期113/03/11
1 . 政策目的:銘鳳資訊有限公司(以下簡稱本公司)為使本公司業務順利運作,推動資訊安全管理系統(Information Security Management System,以下簡稱ISMS),建立安全及可信賴之資訊作業環境,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及適法性(Compliance),特訂定「資訊安全政策」(以下簡稱本政策),以確保資訊安全及提升服務品質,並達永續經營之目標。
2 . 適用範圍:所有本公司之員工、合作夥伴或單位等,皆有責任遵循本政策。
3 . 宣導標語:「資通安全,人人有責」。
4 . 資安政策及資安目標:
4-1 . 本公司員工須簽署本公司「保密同意書」,外部方參加本公司專案人員均須簽署「廠商保密切結書」,並遵守「國家機密保護法」、「營業秘密法」、「個人資料保護法」、「著作權法」、「刑法」、「資通安全管理法」、「資通安全管理法施行細則」及資通安全管理法子法等國家相關法規之要求,且不得發生洩密或違法事件。
4-2 . 委製、共同合作或專案資料之存取或異動,專案檔案均應設置存取權限,敏感(機密)資訊傳輸前必須先行加密。
4-3 . 資訊安全目標及量測:
4-3-1 . 機密性目標及量測指標:每年進行統計遭查獲洩漏機敏資料件數不得發生。
4-3-2 . 完整性目標及量測指標:每年進行統計回報資料遭竄改件數不得發生。
4-3-3 . 可用性目標及量測指標:每年進行統計連外主幹網路非預期中斷四小時件數不得超過二件。
4-3-4 . 適法性目標及量測指標:每年進行資訊安全管理制度作業檢驗,因違反「國家機密保護法」、「營業秘密法」、「個人資料保護法」、「著作權法」、「刑法」、「資通安全管理法」等國家相關法規件數不得發生。
4-3-5 . 因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本公司同仁之資通安全意識,本公司同仁於年度內需接受至少2小時資安認知課程訓練,資安專責人員於年度內需接受至少3小時資通安全專業課程訓練。
5 . 政策審查:
5-1 . 本政策及目標應至少每年評估審查一次,以符合政府相關法規之要求,並反映資訊科技之最新發展現況,確保資訊安全管理作業之有效性。
5-2 . 本政策須經管理委員會審查或管理代表核准,於公告日施行,並以書面、電子或教育訓練、內部會議等其他方式通知所有員工及合作廠商或單位遵守,修正時亦同。