1、信息平安管理政策_(dá)V11信息平安政策版本日期修改內(nèi)容制/修訂者核準(zhǔn)者1.目的確保本公司信息平安管理系統(tǒng)執(zhí)行之有效性，使信息平安政策、信息平安目標(biāo)與信息平安各流程清楚展現(xiàn)與說明。2.適用范圍信息平安管理系統(tǒng)所涵蓋范圍：XXXXX之所有部門均適用。3.定義無4權(quán)責(zé)1.1信息平安管理會(huì)議主席：資安總干事1.2信息平安管理會(huì)議通知：資安組組員1.3信息平安管理會(huì)議紀(jì)錄：各組組員1.4信息平安管理會(huì)議出席人員：廠長與各部門主管5.流程圖6.作業(yè)內(nèi)容6.1本公司簡介6.1.1組織名稱：XXX6.1.2組織地址：XXX6.1.3連絡(luò)：XXX6.1.4號(hào)碼：XXX6.1.5員工人數(shù)：XXX名6.2范圍：本手冊(cè)

2、之內(nèi)容與規(guī)定事項(xiàng)均適用于本公司信息部門所有服務(wù)本公司排除電子商務(wù)及在線交易兩項(xiàng)效勞在ISMS系統(tǒng)范圍內(nèi)，從計(jì)算機(jī)機(jī)房之?dāng)?shù)據(jù)管理、網(wǎng)絡(luò)資源效勞、提供信息系統(tǒng)開發(fā)及辦公室信息平安管理，均依循ISO 27001:2005年版之信息 平安管理系統(tǒng)之標(biāo)準(zhǔn)要求。6.3信息平安政策：6.3.1公司信息部門以下簡稱本部門為強(qiáng)化信息平安管理、 增進(jìn)同仁對(duì)信息平安之認(rèn)知，弁確保數(shù)據(jù)、系統(tǒng)、設(shè)備與網(wǎng)絡(luò)平安，特訂定本政策： 透過全員持續(xù)不斷的努力， 展開信息平安的作為，確保在本公司 營運(yùn)范圍中所涉及的信息資產(chǎn)得到有效的保護(hù)。6.3.2為統(tǒng)籌信息平安管理等事項(xiàng)之協(xié)調(diào)及推動(dòng)，成立信息平安工作小組，該小組之幕僚作業(yè)由資安組

3、負(fù)責(zé)。6.3.3依以下分工原那么，配賦有關(guān)單位及人員權(quán)責(zé)：6.3.3.1信息平安管理政策、方案及標(biāo)準(zhǔn)之研議、建置及評(píng)估 等事項(xiàng)，由本公司資安組負(fù)責(zé)辦理。6.3.3.2數(shù)據(jù)及信息系統(tǒng)之平安需求研議、管理及保護(hù)等事 項(xiàng)，由本公司各業(yè)務(wù)單位負(fù)責(zé)辦理。6.3.3.3信息機(jī)密維護(hù)及平安稽核等事項(xiàng)， 由本公司資安組會(huì)同相關(guān)單位負(fù)責(zé)辦理。6.3.4本政策之范圍如下， 有關(guān)單位及人員應(yīng)就以下事項(xiàng)訂 定相關(guān)管理標(biāo)準(zhǔn)或?qū)嵤┓桨福投ㄆ谠u(píng)估實(shí)施成效：6.3.4.1信息平安本公司人員管理及信息平安教育訓(xùn)練。6.3.4.2計(jì)算機(jī)系統(tǒng)平安管理。6.3.4.3網(wǎng)絡(luò)平安管理。6.3.4.4系統(tǒng)存取控制。6.3.4.5系統(tǒng)開展

4、及維護(hù)平安管理。6.3.4.6信息資產(chǎn)平安管理。6.3.4.7實(shí)體及環(huán)境平安管理。6.3.4.8信息平安事故管理。6.3.4.9業(yè)務(wù)永續(xù)運(yùn)作方案之規(guī)劃與管理。6.3.4.10信息平安政策之適用性。6.3.5人員管理及信息平安教育訓(xùn)練6.3.5.1對(duì)信息相關(guān)職務(wù)及工作，應(yīng)進(jìn)行平安評(píng)估，弁于人員任用、工作及任務(wù)指派時(shí)，審慎評(píng)估人員之適任性，弁進(jìn)行必要的考核。6.3.5.2管理、業(yè)務(wù)及信息等不同工作類別之需求，定期辦理信息平安教育訓(xùn)練及倡導(dǎo)，建立同仁信息平安認(rèn)知，提升信息平安水平。6.3.6計(jì)算機(jī)系統(tǒng)平安管理6.3.6.1辦理信息業(yè)務(wù)委外作業(yè)，應(yīng)于事前研提信息平安需 求，明訂廠商之信息平安責(zé)任及保密

5、規(guī)定，弁列入契約，要求廠商遵守弁定期考核。6.3.6.2依相關(guān)法規(guī)或契約規(guī)定復(fù)制及使用軟件， 弁建立軟件使用管理制度。6.3.6.3實(shí)行必要的事前預(yù)防及保護(hù)措施，偵測及防止計(jì)算機(jī)病毒及其它惡意軟件，確保系統(tǒng)正常運(yùn)作。6.3.7網(wǎng)絡(luò)平安管理6.3.7.1開放外界連線作業(yè)之信息系統(tǒng)，應(yīng)視數(shù)據(jù)及系統(tǒng)之重要 性及價(jià)值，采用數(shù)據(jù)加密、身分鑒別及防火墻等不同平安等級(jí)之技術(shù)或措施，防止數(shù)據(jù)及系統(tǒng)被侵入、破壞、竄改、刪除及未經(jīng)授權(quán)之存取。6.3.7.2與外界網(wǎng)絡(luò)連接之網(wǎng)點(diǎn)，應(yīng)以防火墻及其它必要平安設(shè) 施，控管外界與內(nèi)部網(wǎng)絡(luò)之?dāng)?shù)據(jù)傳輸與資源存取。6.3.7.3利用因特網(wǎng)及全球信息網(wǎng)公布及流通信息，應(yīng)實(shí)施數(shù)據(jù) 平

6、安監(jiān)控，機(jī)密性、敏感性及未經(jīng)當(dāng)事人同意之個(gè)人隱私資料及文件，不得上網(wǎng)公布。6.3.7.4訂定電子郵件使用規(guī)定，機(jī)密性數(shù)據(jù)及文件不得以電子 郵件或其它電子方式傳送。6.3.8系統(tǒng)存取控制1.1.1.1系統(tǒng)存取應(yīng)依人員職務(wù)或角色，訂定相關(guān)權(quán)限。1.1.1.2離調(diào)職人員，應(yīng)取消各項(xiàng)信息資源之所有權(quán)限，弁 列入離調(diào)職之必要手續(xù)。人員職務(wù)調(diào)整及調(diào)動(dòng)，應(yīng)依系統(tǒng)存取授權(quán)規(guī)定， 限期調(diào)整其 權(quán)限。1.1.1.3建立系統(tǒng)使用者注冊(cè)管理制度，加強(qiáng)使用者通行密碼管理，使用者通行密碼之更新周期，最長以不超過六個(gè)月為原那么。1.1.1.4對(duì)系統(tǒng)效勞廠商以遠(yuǎn)程登入方式進(jìn)行系統(tǒng)維修者，應(yīng)加強(qiáng)平安控管，課其相關(guān)平安保密責(zé)任。

7、1.1.1.5建立信息平安稽核制度，定期或不定期進(jìn)行信息平安 稽核作業(yè)。6.3.9系統(tǒng)開展及維護(hù)平安管理6.3.9.1自行開發(fā)或委外開展系統(tǒng)，應(yīng)在系統(tǒng)生命周期之初始 階段，即將信息平安需求納入考慮；系統(tǒng)之維護(hù)、更新、上線執(zhí)行及版本異動(dòng)作業(yè)，應(yīng)予平安管制，防止不當(dāng)軟件、暗門及計(jì)算機(jī)病毒等危害系統(tǒng)平安。6.3.9.2對(duì)廠商之軟硬件系統(tǒng)建置及維護(hù)人員， 應(yīng)標(biāo)準(zhǔn)及限制其可接觸之系統(tǒng)與數(shù)據(jù)范圍，弁嚴(yán)禁核發(fā)長期性之系統(tǒng)辨識(shí)碼及通行密碼。如基于實(shí)際作業(yè)需要，得核發(fā)短期性及臨時(shí)性之系統(tǒng)辨識(shí)及通行密碼供廠商使用，但使用完畢后應(yīng)立即取消其使用權(quán)限。6.3.9.3委托廠商建置及維護(hù)重要之軟硬件設(shè)施，應(yīng)在本公司相關(guān)人

8、員同意后始得為之，弁且會(huì)以監(jiān)控系統(tǒng)監(jiān)測委外廠商之行為。6.3.10信息資產(chǎn)平安管理6.3.10.1建立與信息系統(tǒng)有關(guān)的信息資產(chǎn)清冊(cè)，訂定信息資 產(chǎn)的工程、擁有者及信息資產(chǎn)分類等。6.3.10.2已列入信息資產(chǎn)平安分類的信息及系統(tǒng)之輸出數(shù) 據(jù)，應(yīng)標(biāo)示適當(dāng)?shù)钠桨驳燃?jí)以利使用者遵循。6.3.11實(shí)體及環(huán)境平安管理：就設(shè)備安置、周邊環(huán)境及人員 進(jìn)出管制等，訂定實(shí)體及環(huán)境平安管理措施。6.3.12信息平安事故管理6.3.12.1各項(xiàng)信息平安活動(dòng)或效勞過程之意外與緊急事故鑒 定。6.3.12.2信息平安緊急事故通報(bào)。6.3.12.3信息平安意外與緊急事故應(yīng)變之測試。6.3.12.4持續(xù)監(jiān)控、管理及改善信息平安。6.3.13業(yè)務(wù)永續(xù)運(yùn)作方案之規(guī)劃與管理6.3.13.1訂定業(yè)務(wù)永續(xù)運(yùn)作方案，評(píng)估各種人為及天然災(zāi)害 對(duì)業(yè)務(wù)運(yùn)作之影響，訂定緊急應(yīng)變及回復(fù)作業(yè)程序及相關(guān)人員之權(quán)責(zé)，弁定期演練及調(diào)整更新方案。6.3.13.2建立信息平安事件緊急處理機(jī)制，在發(fā)