跳至內容

資訊安全政策聲明

我們重視資訊的安全和隱私。本資訊安全政策聲明旨在向我們的客戶、合作夥伴和公眾明確我們對於保護資訊安全的承諾和措施。

一、資訊安全管理目標

  1. 矽塔資訊服務有限公司(下稱本公司)執行資訊安全管理制度(ISMS)須達成之資訊安全目標,依 ISO 27001:2022 之規範、相關法規與國際規範辦理。
  2. 本公司為保護公司資訊資產機密性、完整性與可用性,並確保公司資訊作業持續運作,特制定本資訊安全政策,俾達成永續營運之目標。


二、實施範圍

  1. 本政策適用範圍涵蓋本公司、所屬單位及相關系統、員工及供應商,涉及所有形式的數據和資訊處理設施。 
  2. 資訊安全管理涵蓋組織、人員、實體、技術之四大層面進行管理及控制措施事項,避免因不當管理、人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改破壞等情事,對本公司致生之潛在風險與危害。


三、企業資安責任

  1. 本公司管理階層應提供必要資源, 以建立、實施、運行、監視、檢視、維護和改進資訊安全管理制度。
  2. 本公司管理階層應建立及審查此政策。
  3. 資訊安全管理者應透過適當標準及程序實施此政策。
  4. 所有人員與協力廠商均應依照程序以維護資訊安全管理政策,以確保業務之執行符合公司業務要求、法律及契約義務。
  5. 所有人員應報告安全事件及任何以鑑別的弱點。
  6. 任何危及資訊安全的行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。


四、資訊安全管理制度

  1. 風險管理:本公司定期進行資訊安全風險評估和風險處理,以識別和管理風險。
  2. 資產保護:本公司實施適當的物理、技術和組織安全控制措施來保護資訊資產。 
  3. 防護手段:上開保護措施包含但不限於資料去識別化、存取控制、數據加密、網絡安全、事故管理和業務連續性規劃。 
  4. 教育訓練:所有員工和相關利害關係人將接受持續的資訊安全意識培訓和教育,以提升對安全威脅的識別和處理能力。 
  5. 資安事件應對:本公司建立與實施資訊安全事件管理流程, 以應對和緩解資安事件。並於資安事件發生時快速識別、評估、報告與處理。
  6. 和規性遵循:本公司定期進行內部與外部審核,以確保業務之執行符合相關法律、規範與契約要求。
  7. 持續改進:本公司透過管理層審查、內部審計與意見反映,持續改進資訊安全管理制度。
  8. 政策公開性:本政策對所有員工、合作夥伴與公眾開放,以保障政策透明性與企業資安責任。


五、管理指標

  1. 資訊服務可用性:本公司資訊服務可用性之要求如下
    1. 一般性系統服務達全年上班時間 95% 以上。
    2. 資訊機房維運服務達全年上班時間 98% 以上。
    3. 核心業務系統服務達全年上班時間 99.9% 以上。
  3. 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事,每年不得超過次數如下: 
    1. 一般性系統服務中斷,每季不得超過 5 次。
    2. 資訊機房維運服務中斷,每季不得超過 5 次。
    3. 核心業務系統服務中斷,每季不得超過 3 次。
  5. 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事,每次最長不得超過工作小時要求如下:
    1. 一般性系統服務中斷,每次最長不得超過 8 工作小時。
    2. 資訊機房維運服務中斷,每次最長不得超過 8 工作小時。
    3. 核心業務系統服務中斷,每次最長不得超過 8 工作小時。
  7. 應適當保護本公司資訊資產之機密性與完整性,每年至少需進行1次風險評鑑及風險管理。 
  8. 為確保資訊需經權責單位授權才可存取,以確保其機密性,每年發生機密等級資訊外洩之事件不得超過 1 次。
  9. 為確保本公司客戶資料之正確性與完整性,每年應無發生資料遭未經授權竄改之事件。
  10. 為確保本公司資訊安全措施或規範符合現行法令、法規之要求,每二年至少需稽核 1 次。 
  11. 維護及演練業務永續運作計畫每二年至少測試演練 1 次核心業務,以確保本公司資訊業務服務得以持續運作。


六、審查與實施

  1. 本政策應依相關事件與規劃進行即時評估或每年至少審查 1 次,以反映政府法令、技術及業務等最新發展現況,並確保本公司業務永續運作之能力。 
  2. 本政策經資訊安全工作小組核定後實施。