目的

為強化保吉生化學股份有限公司(以下簡稱本公司)資通訊作業安全,提供可信賴之資通訊服務,以符合ISO/IEC 27001國際標準規範及相關法規要求,確保本公司主機、網路設備及網路通訊安全穩定運作管理,降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,以維護本公司資訊資產之機密性、完整性及可用性。

適用對象及範圍

本公司員工、約(聘)僱人員、委外服務廠商,以及本公司擁有或存在於本公司所轄處所之資訊資產與可能衍生資訊安全風險之設施、物品,皆應遵守本公司資訊安全管理之相關要求。

資訊安全政策

本公司「資訊安全政策」為資通安全管理作業最高指導原則,參照ISO 27001標準,採用「Plan-Do-Check-Act」(PDCA)之循環運作模式建立資訊安全管理制度,以確保資訊作業安全能順利運作,並維繫其有效運作與持續改進。

資訊安全控制措施

(1)成立資訊安全管理組織,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及關注方對本公司之資訊安全要求與期望。

(2)管理階層承諾維護資訊安全,持續改善資訊安全品質,並負保護隱私權及身份識別資訊之責,減少資訊安全事故之發生,以保障客戶之權益。

(3)遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。

(4)資訊安全管理制度文件應適時更新,紀錄之保護應有明確管理機制。

(5)定期執行風險評鑑、訂定作業持續運作計畫,確實執行測試演練、檢視資訊安全指標,以維持資訊安全管理制度及管控程序實施之有效性。

(6)對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客有存取本公司資訊資產之需求時,應進行必要之審核及告知應遵守之資訊安全規範;該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。

(7)確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。

(8)落實網路通訊安全及組態管理。

(9)資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。

(10)本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之情事,並依程序進行通報。

(11)應採用行動裝置安全措施,以管理使用行動裝置所導致之風險。

(12)應於資訊作業專案管理中納入資訊安全相關議題。

(13)本公司全體員工皆有責任及義務保護其擁有、保管或使用之資訊資產。

(14)工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。

(15)控管人員存取具威脅或惡意之網站。

Scroll to Top