一.依拠
- 中華民国銀行公会の会員銀行とサードパーティのサービスプロバイダの提携の自主規範。
- 金融機構とサードパーティのサービスプロバイダのオープンAPI業務処理安全管理作業規範。
- ISO/IEC 27001:2013とCNS 27001情報技術-セキュリティ技術-情報セキュリティ管理システム要求事項。
一.目的
当社の情報セキュリティの管理を強化し、またこれにより最高管理階層の情報セキュリティ管理に対する重視を示すために、本ポリシーを当社の将来的な業務の方向と関連付け、各部門の日常業務として統合する必要があります。さらに、組織は適当な資源を提供し、ISMS管理システムの各要求、実績目標、適当に区分けした組織の情報セキュリティの責任と符合させ、情報セキュリティ管理の有効性を確保するとともに、標準を満たさない部分についても継続的に改善します。
三.適用範囲
- 本ポリシーの適用対象は、当社が任用、招聘任用、招聘雇用、契約雇用した者、駐在警備員、技術労働者、労働者、臨時労働者、プロジェクトアシスタント、派遣労働者、当社の業務に関連する機関、当社にサービスを提供する業者及びサードパーティの従業員です。
- 情報セキュリティ管理システム(Information Security Management System、略称ISMS)の実施範囲は、当社の各業務プロセスから派生する情報セキュリティ事項です。
四.責任の分配
- 本ポリシーは取締役会、常務取締役会の決議、或いはそれらに委託されたマネジメント部門の決定を経るものとし、外国企業の台湾支社または単独出資企業は、責任者が調印します。
- 情報セキュリティ組織を設立し、情報セキュリティポリシーの推進と管理事項と統括します。
- 管理階層は、情報セキュリティ関連活動に積極的に参加し、情報セキュリティ業務を支持します。
- 管理階層は本ポリシー、関連する規範、実績について監督者として責を負い、全ての従業員及び外部各方面に公表し、伝達します。
- 従業員以外に、業務上のデータに接触する外部の人員、外注受託サービス業者、訪問者も本ポリシー及び関連する規範を遵守しなければなりません。
- 従業員及び外注受託サービス業者は、全て適当な通報システムにより、情報セキュリティに関する事件または情報セキュリティの弱点を通報し、処理に協力する責任を有します。
- 従業員は法令、法規、当社の各情報セキュリティ関連規定を遵守し、当社が開催する各情報セキュリティ研修に参加する義務を有します。
- 従業員は、組織の情報セキュリティポリシー、情報セキュリティ管理システムに対する貢献、情報セキュリティ管理システムの要求事項を遵守しなかった場合に発生しうる結果を理解します。
- 情報セキュリティを阻むいかなる行為についても、状況の程度に応じ、当社の規定に基づき処分を検討します。
- 情報セキュリティ管理システムの改善措置を講じ、継続的改善の目的を達成します。
五.情報セキュリティの目標
当社の情報セキュリティの目標と情報セキュリティポリシーを一致させるために、その依拠として、以下の判定可能なリスク評価項目を制定します。
- 機密性(Confidentiality):保護しようとする情報に対する未承認のアクセスや無意識の漏洩を確実に避けます。
- 完全性(Integrity):情報の内容と処理方法の正確性と一致性を確保します。
- 可用性(Availability):承認したユーザーが必要な時に情報を取得し、デバイスを使用することができます。
- 合法性(Legitimacy):保護しようとする情報の内容が法令、法規の要求に適います。
六.情報セキュリティポリシーの審査
- 本ポリシーは年1回見直し、必要に応じて調整を加え、法令、技術、業務等の最新の発展状況と対応させ、情報セキュリティの実務作業の有効性を確保します。
- 本ポリシーは情報セキュリティ最高責任者またはそれが指定、委託した代理人が決定し、公告日に施行するとともに、書面、電子または他の方式により適用対象者に通知し、適用する場合、本ポリシーを利害関係者に提供する。修正した場合も同様である。
