資訊安全政策

1.目的

舉凡本公司執行其主管業務相關的資訊紀錄、實體環境、機器設備、軟/硬體、人員(含外包廠商)與程序均應遵守本資訊安全政策。

2.適用範圍

為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性與可用性並依據行政院頒佈「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」,特訂定本公司「資訊安全政策」。

3.名詞定義

    3.1 資料(Data):
  • 用於溝通、說明或處理事情、觀念或指示等正式表達形式。例如網路流量(未經分析過的)、專案實際執行狀況報告等。
    3.2 資訊(Information):
  • 有意義的資料,資料的使用意義或經過整理分析彙總的資 料,以多種方式呈現,如以印刷品、手寫稿或電子方式等保存;以郵件、電子郵件、影片播放或口語等傳遞,如契約、設計文件、訓練教材、典章制度等。
    3.3 資訊系統(Information System):
  • 為了支援決策和組織控制而收集(或獲取)、處理、存儲、分配資訊的一組相互關聯的元件。
    3.4 安全(Security):
  • 對資產被竊、系統無法使用或機密資訊外洩等風險,限制在可承受範圍內之所有措施。
    3.5 資訊安全(Information Security):
  • 確保持續營運、降低損失、提高投資效益的所有措施。舉凡與資訊相關的人、事、物均是資訊安全涵蓋的範圍,如電腦設備、規劃/管理/使用/操作系統的人員、作業流程均包含在內。資通訊安全具有下列特性:
    • 機密性(Confidentiality): 確保只有獲得授權者才可存取資訊,在處理、傳輸、儲存都不會洩漏資訊。
    • 完整性(Integrity): 確保資訊及系統未遭到惡意的竄改或變更,此即包含資訊與系統的完整性,資料存在形式包括在傳輸中、儲存區或處理中。
    • 可用性(Availability): 確保獲得授權的使用者可以取得資訊。
    3.6 阻斷服務(Denial of Service)
  • 妨礙存取資訊或延遲操作時間。
    3.7 威脅(Threat)
  • 任何事件有潛在的機會經由非法存取、破壞、洩密、竄改資料或阻斷服務(Denial of Service)式攻擊,而造成系統傷害者稱之。威脅來源有二:
    • 人為因素: 如非法竊取、使用與駭客行為等。
    • 天然災害: 如水災、地震、颱風及不可抗拒因素等。
    3.8 脆弱性(點)(Vulnerability)
  • 是系統的弱點,而此弱點是指在系統安全開發之各階段(需求、設計、施工與運轉),被利用會造成違反資通安全政策的結果,例如:
    • 網路環境任何進入點、伺服器、Active X 或Java Applet。
    • 任何安全保護措施:如門禁系統、帳號密碼等。
    3.9 風險評鑑(Risk Assessment)
  • 是釐清資訊與資訊系統所可能遭遇到的威脅與脆弱性發生的可能性、分析相關的衝擊(Impacts)以及決定風險等級的程序,是風險管理(Risk Management)的一部份。
    3.10 風險管理(Risk Management)
  • 是一持續進行的程序,經由分析威脅、脆弱性與對業務的衝擊影響,進而選取合適且具成本/效益的控制點,以降低資訊與資訊系統的風險,以達到維持組織可承受的風險等級。

4.資訊安全政策

為配合本公司之經營理念,訂定本公司的資訊安全政策聲明為:「資安保密不可少、門禁管制要落實、資安事件要通報、營運目標要達到」。確保資訊資產受適當之保護,防止資訊安全事件對資訊資產所造成之損害。符合政府資訊安全相關政策、規定以及相關法令要求。 確保資訊業務持續運作與自來水事業永續經營。資訊安全制度之推動,強化資訊服務品質,提昇顧客滿意度。

5.資訊安全目標

資訊安全目標是防範組織之資訊業務受資安事件衝擊,要達到資訊安全要求之機密性、完整性、可用性目標。

回首頁 上一頁