壹、 目的
騰達保險經紀人股份有限公司(以下簡稱本公司)為落實資訊安全管理,採用「規劃-落實-檢查-行動」(Plan-Do-Check-Act, PDCA)的管理模式,建立符合「ISO/IEC 27001」國際標準要求之資訊安全管理制度(Information Security Management System, ISMS)。營造可靠的資訊系統環境,落實推動資訊安全管理作業。希望藉由不斷革新之精神,強化資訊安全管理,以確保客戶資料及機密資訊之機密性、完整性與可用性。
貳、 依據
一、 ISO 27001。
二、 資通安全管理法及其子法。
三、 個人資料保護法及其子法。
四、 保險經紀人資訊安全作業控管自律規範。
參、 適用範圍
一、 適用於本公司內各項資訊資產及所有資訊使用者。
二、 資訊使用者係包含正式員工、聘僱人員、委外廠商及其他經授權使用資訊資產之人員。
三、 資訊系統包含本公司所有及放置於委外服務廠商機房之系統。
肆、 名詞定義
一、 資訊安全:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
二、 資訊資產: 對組織有價值的任何事物,收集、產生、運用之資料以及為完成本公司業務上所需使用之相關資產,包括人員、設備、系統、資訊、資料及網路等。
三、 機密性:使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。確保只有經過授權的人才能存取資訊資產。
四、 完整性:保護資產的準確度(accuracy)和完全性(completeness)的性質。確保資訊資產其處理的前、後均為真確。
五、 可用性:經授權個體因應需求之可存取及可使用的性質。確保授權的使用者在需要進行相關業務的操作時,可以方便地存取使用且不必懷疑其真偽。
伍、 資訊安全政策聲明內容
一、 成立「資安室」確認資訊安全管理運作之有效性。
二、 各單位應建立資訊資產清冊,執行風險評鑑作業,針對高於可接受水準之風險應進行風險管理,以有效降低風險,並持續落實各項管控措施。
三、 所有員工、約聘雇人員及委外廠商,凡其使用本公司資訊以提供資訊服務或執行相關工作等,皆有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
四、 訂定業務持續運作計劃,定期演練,並配合業務發展與組織現況持續調整更新。
五、 辦理資訊業務委外作業時,應於事前研提資訊安全需求,明定廠商之資訊安全責任、保密規定及罰則,並列入契約,要求廠商遵守。
六、 處理或利用客戶資料或公司機密資訊之人員,須依據所賦予之權限,不得逾越。
七、 本公司全體人員應遵守法律規範與資訊安全政策之要求,主管人員應督導資訊安全落實情況,強化同仁資訊安全認知及遵法概念。
八、 本政策經董事會通過後實施;修正時亦同;且每年須定期進行檢視。