利害相關人專區

資訊安全

本公司於109年04月導入資訊安全管理系統(ISMS),並在分別在109年10月16日及110年4月7日 經TUV及BSI專業稽核團隊嚴謹把關下,通過ISO/IEC 27001:2013驗證,華經資訊將持續強化公司資訊安全措施,確保資訊機密、完整及可用性,以提升對企業及客戶之資訊安全防護。

資訊安全政策:

  1. 目的
    為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。

2. 適用範圍

資訊安全涵蓋14項管理事項,避免因人為疏失或天然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:

2.1 資訊安全政策。
2.2 資訊安全組織。
2.3 人力資源安全。
2.4 資產管理。
2.5 存取控制。
2.6 密碼學。
2.7 實體及環境安全。
2.8 運作安全。
2.9 通訊安全。
2.10 系統獲取、開發及維護。
2.11 供應者關係。
2.12 資訊安全事故管理。
2.13 營運持續管理之資訊安全層面。
2.14 遵循性。

3. 本公司資訊安全政策

資訊安全,人人有責,確保公司資訊機密、完整及可用性。

3.1 本公司考量資訊安全政策要求而制定資訊安全目標項目及目標值,用以評量政策落實性。

3.2 本公司依資訊安全政策及風險評鑑結果,建置必要之控制措施及提供所需資源。

3.3 本公司建置資訊安全管理系統以透過系統運作,進行持續改善作業。

4. 資訊安全組織

4.1資訊安全管理委員會由管理代表負責資安各標準制度之建置、實施與維持,以統籌公司之管理制度、資源調度等事項之協調及研議。

4.2建立「資訊安全組織成員表」,以確保任務明確之指派及ISMS有效之聯繫。

4.3資訊安全管理委員會組織圖

5. 適用性聲明書

依據「ISO 27001:2013資訊安全管理系統-要求事項」產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,ISMS資安小組應重新定義控制措施之適用性。

6. 審查

本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本公司營運持續及資訊安全實務作業能力。

7. 實施

7.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。

7.2 本政策經主任委員核定後實施,修訂時亦同。

*資訊安全最主要的3大要素,業界慣用”CIA”稱之,包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability)

  • 1. 機密性 (Confidentiality)
    採用適當安全機制保護資料以避免暴露於無權限人員或程式之下。
  • 2. 完整性(Integrity) 
    確保維持資料原來的狀態,只允許有權限的使用者可以修改資料內容。
  • 3. 可用性(Availability)
    已授權實體在需要時可存取與使用之特性,以確保資訊與系統能夠持續營運、正常使用。