信息安全管理政策_V1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理政策_V11
信息安全政策
版本日期修改内容制/修订者核准者
1.目的
确保本公司信息安全管理系统执行之有效性,使信息安全政策、信息安全目标与信息安全各流程清楚展现与说明。
2.适用范围
信息安全管理系统所涵盖范围:XXXXX之所有部门均适用。
3.定义
无
4.权责
4.1信息安全管理会议主席:资安总干事
4.2信息安全管理会议通知:资安组组员
4.3信息安全管理会议纪录:各组组员
4.4信息安全管理会议出席人员:厂长与各部门主管
5.流程图
无
6.作业内容
6.1本公司简介
6.1.1组织名称:XXX
6.1.2组织地址:XXX
6.1.3连络电话:XXX
6.1.4传真号码:XXX
6.1.5员工人数:XXX名
6.2范围:
本手册之内容与规定事项均适用于本公司信息部门所有服务(本公司排除电子商务及在线交易两项服务在ISMS系统范围内),从计算机机房之数据管理、网络资源服务、提供信息系统开发及办公室信息安全管理,均依循ISO 27001:2005年版之信息安全管理系统之标准要求。
6.3信息安全政策:
6.3.1 公司信息部门(以下简称本部门)为强化信息安全管理、增进同仁对信息安全之认
知,并确保数据、系统、设备与网络安全,特订定本政策:透过全员持续不断的努力,展开信息安全的作为,确保在本公司营运范围中所涉及的信息资产得到有效的保护。
6.3.2 为统筹信息安全管理等事项之协调及推动,成立信息
安全工作小组,该小组之幕
僚作业由资安组负责。
6.3.3 依下列分工原则,配赋有关单位及人员权责:
6.3.3.1信息安全管理政策、计划及规范之研议、建置及评估等事项,由本公司资安
组负责办理。
6.3.3.2数据及信息系统之安全需求研议、管理及保护等事项,由本公司各业务单位
负责办理。
6.3.3.3信息机密维护及安全稽核等事项,由本公司资安组会同相关单位负责办理。
6.3.4 本政策之范围如下,有关单位及人员应就下列事项订定相关管理规范或实施计划,
并定期评估实施成效:
6.3.4.1信息安全本公司人员管理及信息安全教育训练。
6.3.4.2计算机系统安全管理。
6.3.4.3网络安全管理。
6.3.4.4系统存取控制。
6.3.4.5系统发展及维护安全管理。
6.3.4.6信息资产安全管理。
6.3.4.7实体及环境安全管理。
6.3.4.8信息安全事故管理。
6.3.4.9业务永续运作计划之规划与管理。
6.3.4.10信息安全政策之适用性。
6.3.5 人员管理及信息安全教育训练
6.3.5.1对信息相关职务及工作,应进行安全评估,并于人员任用、工作及任务指派
时,审慎评估人员之适任性,并进行必要的考核。
6.3.5.2管理、业务及信息等不同工作类别之需求,定期办理信息安全教育训练及倡
导,建立同仁信息安全认知,提升信息安全水平。
6.3.6 计算机系统安全管理
6.3.6.1办理信息业务委外作业,应于事前研提信息安全需求,明订厂商之信息安全
责任及保密规定,并列入契约,要求厂商遵守并定期考核。
6.3.6.2依相关法规或契约规定复制及使用软件,并建立软件使用管理制度。
6.3.6.3实行必要的事前预防及保护措施,侦测及防止计算机
病毒及其它恶意软件,
确保系统正常运作。
6.3.7 网络安全管理
6.3.
7.1开放外界连线作业之信息系统,应视数据及系统之重要性及价值,采用数据
加密、身分鉴别及防火墙等不同安全等级之技术或措施,防止数据及系统被
侵入、破坏、窜改、删除及未经授权之存取。
6.3.
7.2与外界网络连接之网点,应以防火墙及其它必要安全设施,控管外界与内部
网络之数据传输与资源存取。
6.3.
7.3利用因特网及全球信息网公布及流通信息,应实施数据安全监控,机密性、
敏感性及未经当事人同意之个人隐私资料及文件,不得上网公布。
6.3.
7.4订定电子邮件使用规定,机密性数据及文件不得以电子邮件或其它电子方式
传送。
6.3.8 系统存取控制
6.3.8.1系统存取应依人员职务或角色,订定相关权限。
6.3.8.2离(调)职人员,应取消各项信息资源之所有权限,并列入离(调)职之必要手续。
人员职务调整及调动,应依系统存取授权规定,限期调整其权限。
6.3.8.3建立系统使用者注册管理制度,加强使用者通行密码管理,使用者通行密码
之更新周期,最长以不超过六个月为原则。
6.3.8.4对系统服务厂商以远程登入方式进行系统维修者,应加强安全控管,课其相
关安全保密责任。
6.3.8.5建立信息安全稽核制度,定期或不定期进行信息安全稽核作业。
6.3.9 系统发展及维护安全管理
6.3.9.1自行开发或委外发展系统,应在系统生命周期之初始阶段,即将信息安全需
求纳入考虑;系统之维护、更新、上线执行及版本异动作业,应予安全管制,
避免不当软件、暗门及计算机病毒等危害系统安全。
6.3.9.2对厂商之软硬件系统建置及维护人员,应规范及限制其可接触之系统与数据
范围,并严禁核发长期性之系统辨识码及通行密码。如基于实际作业需要,
得核发短期性及临时性之系统辨识及通行密码供厂商使用,但使用完毕后应
立即取消其使用权限。
6.3.9.3委托厂商建置及维护重要之软硬件设施,应在本公司相关人员同意后始得为
之,并且会以监控系统监测委外厂商之行为。
6.3.10信息资产安全管理
6.3.10.1建立与信息系统有关的信息资产清册,订定信息资产的项目、拥有者及信息
资产分类等。
6.3.10.2已列入信息资产安全分类的信息及系统之输出数据,应标示适当的安全等级
以利使用者遵循。