資訊安全政策
發布日期: 2021/11/17
資料來源:台灣自來水公司
1.目的
為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性與可用性並依據行政院頒佈「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」,特訂定本公司「資訊安全政策」。
2.適用範圍
舉凡本公司執行其主管業務相關的資訊紀錄、實體環境、機器設備、軟/硬體、人員(含外包廠商)與程序均應遵守本資訊安全政策。
3.名詞定義
3.1 資料(Data):
用於溝通、說明或處理事情、觀念或指示等正式表達形式。例如網路流量(未經分析過的)、專案實際執行狀況報告等。
3.2 資訊(Information):
有意義的資料,資料的使用意義或經過整理分析彙總的資 料,以多種方式呈現,如以印刷品、手寫稿或電子方式等保存;以郵件、電子郵件、影片播放或口語等傳遞,如契約、設計文件、訓練教材、典章制度等。
3.3 資訊系統(Information System):
為了支援決策和組織控制而收集(或獲取)、處理、存儲、分配資訊的一組相互關聯的元件。
3.4 安全(Security):
對資產被竊、系統無法使用或機密資訊外洩等風險,限制在可承受範圍內之所有措施。
3.5 資訊安全(Information Security):
確保持續營運、降低損失、提高投資效益的所有措施。舉凡與資訊相關的人、事、物均是資訊安全涵蓋的範圍,如電腦設備、規劃/管理/使用/操作系統的人員、作業流程均包含在內。資通訊安全具有下列特性:
3.5.1 機密性(Confidentiality):
確保只有獲得授權者才可存取資訊,在處理、傳輸、儲存都不會洩漏資訊。
3.5.2 完整性(Integrity):
確保資訊及系統未遭到惡意的竄改或變更,此即包含資訊與系統的完整性,資料存在形式包括在傳輸中、儲存區或處理中。
3.5.3 可用性(Availability):
確保獲得授權的使用者可以取得資訊。
3.6 阻斷服務(Denial of Service)
妨礙存取資訊或延遲操作時間。
3.7 威脅(Threat)
任何事件有潛在的機會經由非法存取、破壞、洩密、竄改資料或阻斷服務(Denial of Service)式攻擊,而造成系統傷害者稱之。威脅來源有二:
3.7.1 人為因素:如非法竊取、使用與駭客行為等。
3.7.2 天然災害:如水災、地震、颱風及不可抗拒因素等。
3.8 脆弱性(點)(Vulnerability)
是系統的弱點,而此弱點是指在系統安全開發之各階段(需求、設計、施工與運轉),被利用會造成違反資通安全政策的結果,例如:
3.8.1 網路環境任何進入點、伺服器、Active X 或Java Applet。
3.8.2 任何安全保護措施:如門禁系統、帳號密碼等。
3.9 風險評鑑(Risk Assessment)
是釐清資訊與資訊系統所可能遭遇到的威脅與脆弱性發生的可能性、分析相關的衝擊(Impacts)以及決定風險等級的程序,是風險管理(Risk Management)的一部份。
3.10 風險管理(Risk Management)
是一持續進行的程序,經由分析威脅、脆弱性與對業務的衝擊影響,進而選取合適且具成本/效益的控制點,以降低資訊與資訊系統的風險,以達到維持組織可承受的風險等級。
4.資訊安全政策
為配合本公司之經營理念,訂定本公司的資訊安全政策聲明為:「資安保密不可少、門禁管制要落實、資安事件要通報、營運目標要達到」。 確保資訊資產受適當之保護,防止資訊安全事件對資訊資產所造成之損害。符合政府資訊安全相關政策、規定以及相關法令要求。 確保資訊業務持續運作與自來水事業永續經營。資訊安全制度之推動,強化資訊服務品質,提昇顧客滿意度。
5.資訊安全目標
資訊安全目標是防範組織之資訊業務受資安事件衝擊,要達到資訊安全要求之機密性、完整性、可用性目標。
1.目的
為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性與可用性並依據行政院頒佈「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」,特訂定本公司「資訊安全政策」。
2.適用範圍
舉凡本公司執行其主管業務相關的資訊紀錄、實體環境、機器設備、軟/硬體、人員(含外包廠商)與程序均應遵守本資訊安全政策。
3.名詞定義
3.1 資料(Data):
用於溝通、說明或處理事情、觀念或指示等正式表達形式。例如網路流量(未經分析過的)、專案實際執行狀況報告等。
3.2 資訊(Information):
有意義的資料,資料的使用意義或經過整理分析彙總的資 料,以多種方式呈現,如以印刷品、手寫稿或電子方式等保存;以郵件、電子郵件、影片播放或口語等傳遞,如契約、設計文件、訓練教材、典章制度等。
3.3 資訊系統(Information System):
為了支援決策和組織控制而收集(或獲取)、處理、存儲、分配資訊的一組相互關聯的元件。
3.4 安全(Security):
對資產被竊、系統無法使用或機密資訊外洩等風險,限制在可承受範圍內之所有措施。
3.5 資訊安全(Information Security):
確保持續營運、降低損失、提高投資效益的所有措施。舉凡與資訊相關的人、事、物均是資訊安全涵蓋的範圍,如電腦設備、規劃/管理/使用/操作系統的人員、作業流程均包含在內。資通訊安全具有下列特性:
3.5.1 機密性(Confidentiality):
確保只有獲得授權者才可存取資訊,在處理、傳輸、儲存都不會洩漏資訊。
3.5.2 完整性(Integrity):
確保資訊及系統未遭到惡意的竄改或變更,此即包含資訊與系統的完整性,資料存在形式包括在傳輸中、儲存區或處理中。
3.5.3 可用性(Availability):
確保獲得授權的使用者可以取得資訊。
3.6 阻斷服務(Denial of Service)
妨礙存取資訊或延遲操作時間。
3.7 威脅(Threat)
任何事件有潛在的機會經由非法存取、破壞、洩密、竄改資料或阻斷服務(Denial of Service)式攻擊,而造成系統傷害者稱之。威脅來源有二:
3.7.1 人為因素:如非法竊取、使用與駭客行為等。
3.7.2 天然災害:如水災、地震、颱風及不可抗拒因素等。
3.8 脆弱性(點)(Vulnerability)
是系統的弱點,而此弱點是指在系統安全開發之各階段(需求、設計、施工與運轉),被利用會造成違反資通安全政策的結果,例如:
3.8.1 網路環境任何進入點、伺服器、Active X 或Java Applet。
3.8.2 任何安全保護措施:如門禁系統、帳號密碼等。
3.9 風險評鑑(Risk Assessment)
是釐清資訊與資訊系統所可能遭遇到的威脅與脆弱性發生的可能性、分析相關的衝擊(Impacts)以及決定風險等級的程序,是風險管理(Risk Management)的一部份。
3.10 風險管理(Risk Management)
是一持續進行的程序,經由分析威脅、脆弱性與對業務的衝擊影響,進而選取合適且具成本/效益的控制點,以降低資訊與資訊系統的風險,以達到維持組織可承受的風險等級。
4.資訊安全政策
為配合本公司之經營理念,訂定本公司的資訊安全政策聲明為:「資安保密不可少、門禁管制要落實、資安事件要通報、營運目標要達到」。 確保資訊資產受適當之保護,防止資訊安全事件對資訊資產所造成之損害。符合政府資訊安全相關政策、規定以及相關法令要求。 確保資訊業務持續運作與自來水事業永續經營。資訊安全制度之推動,強化資訊服務品質,提昇顧客滿意度。
5.資訊安全目標
資訊安全目標是防範組織之資訊業務受資安事件衝擊,要達到資訊安全要求之機密性、完整性、可用性目標。