一.依據
- 中華民國銀行公會會員銀行與第三方服務提供者合作之自律規範。
- 金融機構與第三方服務提供者辦理開放應用程式介面業務安全控管作業規範。
- ISO/IEC 27001:2013與CNS 27001資訊技術-安全技術-資訊安全管理系統要求事項。
一.目的
本公司為強化資通安全管理,並藉此展現最高管理階層對資安管理之重視,本政策須與本公司之未來業務方向相關,並整合於各單位之日常業務內。並且,組織將提供適當資源,以符合ISMS管理系統各項要求及績效目標及區分適當之組織資安責任,確保資安管理之有效性,且對未能滿足標準之處持續進行改善。
三.適用範圍
- 本政策適用對象為本公司任用、聘任、聘用、約僱、駐衛警、技工、工友、臨時人員、計畫助理及派遣人員,接觸本公司業務之相關單位、對本公司提供服務之廠商及第三方人員。
- 資訊安全管理系統(Information Security Management System,簡稱ISMS)實施範圍為本公司各業務流程衍生之資通安全事項。
四.責任分配
- 本政策應經董事會、常務董事會決議或經其授權之經理部門核定,外國公司在臺分公司或獨資企業應由其負責人簽署。
- 應成立資通安全組織,統籌資通安全政策之推動與管理事項。
- 管理階層應積極參與資通安全相關活動,提供對資通安全業務之支持。
- 管理階層對本政策、相關規範及績效負督導執行之責,並應對所有員工及相關外部各方公布與傳達。
- 除員工外,凡接觸業務資料之外部人員、委外服務廠商及訪客亦應遵守本政策及相關規範。
- 員工及委外服務廠商均有責任透過適當通報機制,通報資通安全事件或資通安全弱點並協助處理。
- 員工應遵守法令法規與本公司各項資通安全規定,並有參加本公司舉辦各類資通安全教育訓練之義務。
- 員工應認知其組織之資訊安全政策、其對資安管理系統之貢獻及未遵循資安管理系統要求事項之可能後果。
- 任何危及資通安全之行為,將視情節輕重依本公司相關規定進行議處。
- 應藉由執行資通安全管理系統之改善措施,以達到持續改進之目的。
五.資通安全目標
為使本公司之資通安全目標與資通安全政策一致,特訂定以下可量測之風險評估項目為依據:
- 機密性(Confidentiality):確保所欲保護的資訊,避免未經授權的存取,或無意的洩漏。
- 完整性(Integrity):確保資訊內容與處理方法為正確與一致性。
- 可用性(Availability):確保經授權的使用者在需要時可取得資訊與使用設備。
- 法律遵循性(Legitimacy):確保所欲保護的資訊內容,遵循法令法規要求。
六.資通安全政策審查
- 本政策每年審視一次,得視需要作調整以因應法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。
- 本政策經資安長或其指定授權代理人核定,於公告日施行,並以書面、電子或其他方式通知本政策適用人員,並於適用時提供本政策予相關利害關係者,修正時亦同。
