一、瑞竣科技提升資通安全專業,團隊通過ISO 27001:2013管理系統驗證

ISO 27001:2013 ISMS證書


發行日期:109年1月1日 版本:1.0

二、資通安全政策

壹、目的:
為維護瑞竣科技股份有限公司(以下簡稱本公司)所屬資訊資產之機密性、完整性及可用性,並符合相關法規之要求,並保障使用者資料隱私,使其免於遭受內、外部的蓄意或意外之威脅。本公司整合各層級部門資通安全目標,建立本公司整體資通安全政策目標如下:

一、保護本公司業務活動資訊,避免未經授權存取,確保機密性。
二、保護本公司業務活動資訊,避免未經授權修改,確保正確完整性。
三、建立資訊業務永續運作計畫,維持本公司業務持續運作,確保可用性。
四、本公司之業務執行符合相關法規之要求,確保法規遵循性。

貳、適用範圍:
本政策適用於本公司人員、委外服務廠商與訪客皆應遵守本政策,以及資通訊安全之相關作業規範管理事宜。
為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。資通訊安全管理除透過「適用性聲明」、「文件管理程序書」、「管理審查程序書」、「資通安全稽核管理程序書」、「矯正預防管理程序書」外,亦依循下列程序書管理各事項:

一、資通安全政策訂定與評估(資通安全政策、資通安全目標管理程序書、組織全景鑑別管理程序書)。
二、資通安全組織(資通安全組織管理程序書)。
三、人員資通安全管理與教育訓練(人力資源安全管理程序書)。
四、重要資通資產分類與管制(資訊資產管理程序書)。
五、風險鑑別管控(資通安全風險管理程序書)。
六、存取控制安全(存取控制與密碼管理程序書)。
七、實體與環境安全(實體與環境安全管理程序書)。
八、作業安全管理(作業安全管理程序書)。
九、網路安全管理(網路安全管理程序書)。
十、資訊系統獲取、開發與維護之安全(資訊發展與維護管理程序書)。
十一、供應商服務管理(供應商關係管理程序書)。
十二、資通安全事件之反應及處理(資通安全事件管理程序書)。
十三、業務永續運作管理(業務持續管理程序書)。
十四、相關法規與本公司政策之符合性(法規遵循管理程序書)。

參、權責:
為落實執行本公司資通安全政策,權責劃分如下:

一、本公司設置資通安全委員會,總經理為當然委員並兼資通安全長,該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查。
二、資通安全委員會下設置資通安全工作小組,由資通安全長指定專人擔任管理代表,配合本公司資通安全需求制修訂各階管理程序文件,維持本公司資通安全管理系統之有效運作,每年應至少一次將資通安全工作執行成果,陳報資通安全委員會進行管理審查。
三、本公司各單位應遵循資通安全工作小組制定之相關資通安全規定。
四、本公司員工、本公司辦公場所以外之系統連線使用者及承接本公司業務之廠商,應遵循本公司資通安全政策及相關管理規定。
五、有任何危及資通安全之行為者,應依法負擔民事、刑事責任,並依本公司相關規定進行行政懲處。

肆、名詞定義:
無。

伍、作業說明:

一、審查:
本政策應至少每年評估審查一次,以符合政府法令之要求,並反映資通科技發展趨勢,確保本公司資通安全管理作業之有效性。
二、實施:

1. 資通安全政策應配合資通安全委員會召開時機,每年定期進行資通安全政策及執行成效管理審查。
2. 本公司每年應遵循「資通安全目標管理程序書(I-2-05)」,使用「資通安全目標有效性量測表(I-2-05-01)」定期量測並審查資通安全目標執行績效,亦應每年定期審核本公司各層級、各部門及整體資通安全管理系統政策目標之有效性和適切性。
3. 本公司每年應依據「組織全景分析程序書(I-2-18)」,使用「全景分析鑑別表(I-2-18-01)」定期進行組織全景分析,鑑別可能影響組織達成資通安全管理系統預期成果能力者之內部及外部議題,瞭解利害關係者關注方之需要及期望。
4. 本公司應定義並每年定期進行資通安全管理系統「適用性聲明(I-1-02」審查,包含檢討資通安全管理系統適用範圍、納入或排除資通安全控制措施之項目及其理由之正確及適切性。
5. 本政策經本公司「資通安全委員會」通過後實施,修訂時亦同。

陸、使用表單與相關文件:

一、相關文件:

(一) 本公司資通安全管理各階文件。

二、使用表單:

(一) 全景分析鑑別表(I-2-18-01)
(二) 資通安全目標有效性量測表(I-2-05-01)