資通安全政策

壹、目的:

為維護直通國際股份有限公司(以下簡稱本公司)所屬資訊資產之機密性、完整性及可用性,並符合相關法規之要求,並保障使用者資料隱私,使其免於遭受內、外部的蓄意或意外之威脅。本公司整合各層級部門資通安全目標,建立本公司整體資通安全政策目標如下:

  • 保護本公司業務活動資訊,避免未經授權存取,確保機密性。
  • 保護本公司業務活動資訊,避免未經授權修改,確保正確完整性。
  • 建立資訊業務永續運作計畫,維持本公司業務持續運作,確保可用性。
  • 本公司之業務執行符合相關法規之要求,確保法規遵循性。

貳、適用範圍:

本政策適用於本公司人員、委外服務廠商與訪客皆應遵守本政策,以及資通訊安全之相關作業規範管理事宜。 為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。資通訊安全管理除透過「適用性聲明」、「文件管理程序書」、「管理審查程序書」、「資通安全稽核管理程序書」、「矯正預防管理程序書」外,亦依循下列程序書管理各事項:

  • 資通安全政策訂定與評估(資通安全政策、資通安全目標管理程序書、組織全景分析程序書)。
  • 資通安全組織(資通安全組織管理程序書)。
  • 人員資通安全管理與教育訓練(人力資源安全管理程序書)。
  • 重要資通資產分類與管制(資訊資產管理程序書)。
  • 風險鑑別管控(資通安全風險管理程序書)。
  • 存取控制安全(存取控制與密碼管理程序書)。
  • 實體與環境安全(實體與環境安全管理程序書)。
  • 作業安全管理(作業安全管理程序書)。
  • 網路安全管理(網路安全管理程序書)。
  • 資訊系統獲取、開發與維護之安全(系統發展與維護管理程序書)。
  • 供應商服務管理(供應商關係管理程序書)。
  • 資通安全事件之反應及處理(資通安全事件管理程序書)。
  • 業務永續運作管理(業務持續管理程序書)。
  • 相關法規與本公司政策之符合性(法規遵循管理程序書)

參、權責:

為落實執行本公司資通安全政策,權責劃分如下:

  1. 本公司設置資通安全委員會,共同創辦人推舉一人為當然委員並兼資通安全長,該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查。
  2. 資通安全委員會下設置資通安全工作小組,由資通安全長指定專人擔任管理代表,配合本公司資通安全需求制修訂各階管理程序文件,維持本公司資通安全管理系統之有效運作,每年應至少一次將資通安全工作執行成果,陳報資通安全委員會進行管理審查。 
  3. 本公司各單位應遵循資通安全工作小組制定之相關資通安全規定。 
  4. 本公司員工、本公司辦公場所以外之系統連線使用者及承接本公司業務之廠商,應遵循本公司資通安全政策及相關管理規定。 
  5. 有任何危及資通安全之行為者,應依法負擔民事、刑事責任,並依本公司相關規定進行行政懲處。