資訊安全管理政策
Chapter 1 總則
1.1 前言
安捷航空股份有限公司(以下簡稱本公司)致力於提供飛航訓練、緊急醫療後送、高空跳傘、空中遊覽等多元航空服務。隨著資訊科技快速發展,資訊系統已成為業務運作的關鍵基礎。為強化資訊安全防護與應變能力,確保各項服務的安全性、穩定性與持續運作,本公司特訂定本政策,以作為資訊安全管理的依據。
1.2 目的
為維護本公司整體資訊安全,強化各項資訊資產之安全管理,提供可信賴之資通訊服務,並符合ISO/IEC 27001國際標準規範及相關法規要求,確保本公司提供之資訊服務、網路設備及網路通訊安全穩定運作管理,以因應業務正常運作整體需要之目標,降低因人為疏失、蓄意或天然災害等導致資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,以維護本公司資訊資產之機密性、完整性、可用性及遵循性。
1.3 範圍
本政策適用於所有正式員工、約(聘)僱人員、實習生、委外及協力廠商及其受雇人員、訪客,以及任何獲授權使用本公司資訊資產的第三方。所有對象皆應遵守本公司資訊安全政策及相關規範,確保資訊資產的安全性及正當使用。
1.4 目標
1.4.1 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
1.4.2 確保本公司資訊作業管理之完整,避免未經授權之修改。
1.4.3 確保本公司資訊作業之持續運作。
1.4.4 確保本公司資訊作業均符合相關法令規定要求。
Chapter 2 權責
2.1 資訊安全組織
2.1.1 本公司設置「資訊安全委員會」,負責下列資訊安全管理事項:
A. 資訊安全政策及辦法之審議。
B. 資訊安全管理制度之檢視及審議。
C. 資訊安全意識提升及教育訓練計劃之審議。
D. 資訊安全基礎設施之評估及議定。
E. 其他資訊安全管理之事項。
2.1.2 由總經理指派高階主管(資安長)擔任召集人,每年至少召開一次會議,研討並評估資訊安全政策,確保其與最新的法規、 技術發展及業務需求相符,並有效反映實際運作情況,持續提升資訊安全的管理成效。
2.1.3 為順利推展資訊安全各項工作,由召集人指派執行秘書或設立推動小組,負責本委員會掌理任務之協調、規劃、執行。
2.2 資訊安全權責分工
2.2.1 資訊安全相關政策、計畫、措施,以及其他資訊安全管理事項之研議,由「資訊安全委員會」負責辦理。
2.2.2 資料及資訊系統之安全需求研議、使用管理及保護等事項,由資訊處會同各業務單位負責辦理。
2.2.3 資訊機密維護及安全稽核等事項,由資訊處會同各業務單位負責辦理。
2.2.4 資訊安全制度計畫擬訂、執行及定期、不定期進行稽核,撰寫報告、陳核、改進事項追蹤等,由資訊處辦理。
Chapter 3 實行辦法
3.1 人員管理及資訊安全教育訓練
3.1.1 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考 核。各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
3.1.2 針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全 水準。
3.2 電腦系統安全管理
3.2.1 辦理業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期 考核。
3.2.2 依相關法規或契約規定複製及使用軟體,禁止未經授權軟體的使用及安裝。
3.2.3 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
3.2.4 對各種系統變更作業,應建立控管制度,並建立紀錄,以備查考。
3.2.5 採購資訊軟硬體設施,應依公司標準或權責主管訂定之資訊安全規範,研提資訊安全需求,並列入採購規格。
3.3 網路安全管理
3.3.1 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞 偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
3.3.2 與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與內部網路之資料傳輸與資源存取。
3.3.3 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未同意之個人隱私資料及文件, 不得上網公布。
3.3.4 訂定電子郵件使用規定,機密性資料及文件得採用權責主管機關認可之加密或電子簽章等安全技術處理後傳送。
3.3.5 為避免網路使用者不慎違反本公司相關網路安全規定,網路管理人員可考慮以相關網路技術以不干擾正常網路使用為原則 下,主動管制違反本公司相關網路規定之使用者。
3.4 系統存取控制
3.4.1 訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
3.4.2 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存 取授權規定,限期調整其權限。
3.4.3 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
3.4.4 建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業。
3.5 系統發展及維護安全管理
3.5.1 自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版 本異動作業,應予安全管制,避免不當軟體、後門及電腦病毒等危害系統安全。
3.5.2 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密 碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權 限。
3.5.3 委託廠商建置及維護重要之軟硬體設施,應在本公司相關人員監督及陪同下始得為之。
3.6 資訊資產安全管理
3.6.1 建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者、保管者、使用者及安全等級分類等。
3.6.2 依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資訊安全等級之分類標準,以及相對應的保護 措施。
3.6.3 已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。
3.7 風險評鑑作業管理
3.7.1 界定風險評鑑範圍,以利執行風險評鑑作業。
3.7.2 依資訊資產對於核心業務之重要性分級,並透過具體數字量化定義不同風險等級。
3.7.3 訂定「可接受風險等級」,並對超過之風險項目擬定風險改善計畫。
3.7.4 風險評鑑應每年進行全面評估,但公司政策、單位業務、資訊資產等發生重大變更時,或遇有任何重大專案新增或變動時, 應就該重大變更影響部份於2個月內進行再評估。
3.8 實體及環境安全管理
就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。
3.9 業務永續運作計畫之規劃與管理
3.9.1 訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並 定期演練及調整更新計畫。
3.9.2 建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向資訊單位或人員通報,採取反應措 施,並聯繫檢警調單位協助偵查。
3.9.3 依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。
3.10 資訊安全量測指標
訂定資訊安全量測指標,藉以控管各單位及業務流程是否符合資訊安全管理政策所列規範。