一、目的
緯謙為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,爰衡酌業務需求導入資訊安全管理機制,定期執行資訊安全內部演練與教育訓練,提升同仁對於資安的意識及警覺性,以確保客戶及產品資訊安全。二、適用對象及範圍
緯謙全體人員(含業務員)、與緯謙有業務往來之廠商及其員工、臨時雇員、訪客等,皆應遵守緯謙資訊安全政策。
三、資訊安全目標
- 確保緯謙資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
- 確保緯謙資訊作業管理之完整,避免未經授權修改。
- 確保緯謙資訊作業之持續運作。
- 確保緯謙資訊作業均符合相關法令規定要求。
四、資訊安全組織
為確保資訊安全管理制度之執行,落實資訊安全政策,緯謙成立資訊安全組織,並定期召開資訊安全推動小組會議,資訊安全組織架構如下圖所示:
五、資訊安全維護
- 辨識資訊安全管理制度之相關利害團體,且定期確認利害關係團體對於資訊安全管理制度之需求(包含客戶對資安的要求)。
- 社交工程演練及員工資安教育訓練,以全面性的提升同仁資安意識,制定完整規範及明確之作業流程,讓資安管理制度化運行。
- 定期執行風險評鑑,以識別出高風險項目並投入適當資源予以降低或移轉。
- 透過各項工具、技術運用做到及時有效的辨識、保護、偵測、回應及復原。
- 建立資安異常事件應變及復原作業流程,以期能迅速對資訊安全事件隔離、排除威脅,降低影響範圍及程度。
- 定期執行關鍵應用系統災難復原演練,以確保其有效性。
- 每年定期執行內外部稽核,檢視整個管理系統,確保正常運作並持續改善。
- 持續關注新的資安資訊、技術,將防禦或管理手法與時俱進,以有效阻擋新型態的資安威脅,降低營運的風險。
更新日期:2023/01/18