台灣中油股份有限公司
資訊安全政策
(摘自本公司資訊管理政策彙編)
4.資訊安全政策
4.1 .為確保本公司資訊的機密性,完整性,可用性,並符合公司營運需求,特制定資訊安全政策。以貫徹「資訊安全認知人人有責,資訊安全管理人人做到,習慣成自然」。
4.2 .資訊安全定義:將安全保護措施的規則應用於電腦系統,並使電腦系統可正常無誤的運作。
4.3 .資訊安全目標:不發生國家資通安全會報三級以上資安事件。
4.4 .資訊安全範圍:
4.4.1 .資訊安全政策。
4.4.2 .資訊安全之組織。
4.4.3 .人力資源安全。
4.4.4 .資產管理。
4.4.5 .存取控制。
4.4.6 .密碼學。
4.4.7 .實體與環境安全。
4.4.8 .運作安全。
4.4.9 .通訊安全。
4.4.10 .系統取得、開發及維護。
4.4.11 .供應者關係。
4.4.12 .資訊安全事故管理。
4.4.13 .營運持續管理之資訊安全層面。
4.4.14 .遵循性。
4.5 .資訊安全之原則、標準:
4.5.1 .國家機密保護法及本公司機密業務資料管理實施要點。
4.5.2 .行政院及所屬各機關資訊安全管理要點及規範。
4.5.3 .經濟部標檢局資訊技術-安全技術-資訊安全管理系統-要求。
4.5.4 .行政院金融監督管理委員會公開發行公司建立內部控制制度處理準則。
4.5.5 .個人資料保護法。
4.6 .員工應負的一般性及特定的資訊安全責任,並遵守下列事項之要求及規定:
4.6.1 .政府法令及契約對機關資訊安全之要求及規定。
4.6.2 .台灣中油股份有限公司工作規則。
4.6.3 .資訊安全教育及訓練。
4.6.4 .電腦病毒防範。
4.6.5 .業務永續運作計畫。
4.7 .資訊安全工作之組織、權責及分工:
4.7.1 .本公司成立資通安全處理小組,負責督導、推動及協調資訊安全相關政策、計畫及措施。
4.7.2 .資訊安全管理之分工原則:
(1)資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊單位負責辦理。
(2)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。
(3)資訊機密維護由政風單位會同相關單位負責辦理。
(4)稽核使用管理事項由稽核單位會同政風單位辦理。
(5)未設置資訊及政風單位者,由機關首長指定適當的單位及人員負責辦理資訊安全管理事項。
4.8 .資通安全事件發生時依據緊急應變計畫暨作業處理程序處理。
4.9 .資訊安全之評估:採用 PDCA(Plan,Do,Check,Act)過程模式定期進行獨立及客觀的評估,以反映政府資訊安全管理政策、法令、技術及機關業務之最新狀況,運用新興科技或處理新型態資安威脅之程序,確保資訊安全實務作業確實遵守資訊安全政策,以及確保資訊安全實務作業之可行性及有效性。資訊安全評估的對象如下:
4.9.1 .資訊設施及系統提供者。
4.9.2 .資訊及資料擁有者。
4.9.3 .使用者。
4.9.4 .管理者。
4.9.5 .系統維護者。
4.9.6 .其他有關人員。
4.10 .資訊安全風險評鑑機制:針對資產價值,弱點產生之衝擊性、威脅發生機率評鑑風險值,產生風險評鑑報告,由資通安全處理小組決定風險可接受程度,各單位提報風險處理計畫與控制措施,將風險值降低至風險可接受程度內。
4.11 .資訊安全政策及規定之宣達:需以書面、電子或其他方式通知員工及與本公司連線作業之公私機構及提供資訊服務之廠商共同遵行。
4.12 .本資訊安全政策經資通安全處理小組核准後實施,修訂時亦同。