資通安全政策
財團法人中小企業信用保證基金 (以下簡稱本基金)秉持維護交易作業環境之資通安全理念,對於本基金資訊系統暨所儲存、處理、傳遞或揭露之資料作周全保護與防範,以杜絕毀損、失竊、洩漏、竄改、濫用與侵權等事故,特訂定本資通安全政策如下:
確保本基金資通安全,防範資安攻擊事件。
精進保證業務運作效能,達成永續發展目標。
- 確實遵守「資通安全管理法」及其子法、「個人資料保護法」及其施行細則、「著作權法」、「電子簽章法」等相關法令。
- 為能有效確保本基金之資通安全,應針對各資通安全領域訂定資通安全規範。
- 本基金資通安全政策之目標為保護業務資訊資產之機密性、完整性與可用性,進而確保提供安全、穩定及高效率之資通服務。
- 遵循本基金資安事件通報機制,通報所發現之資通安全事件或資通安全弱點。
- 對於資通安全事件須有完整的通報及應變措施,以確保資訊系統及重要業務的持續運作。
- 進行資訊處理時,若含有個人資料,應依據「個人資料保護法」及相關規定審慎處理,不私自蒐集或洩漏業務資訊,非公務用途嚴禁調閱使用。
- 本基金高階主管應積極參與資通安全管理活動,提供對資通安全之支持及承諾。
- 依角色及職能為基礎,針對不同層級人員,依據「資通安全管理法」之規定或實際需要辦理資通安全教育訓練及宣導,促使全體人員瞭解資通安全的重要性,各種可能的安全風險,以提高資通安全意識並熟悉工作中之資通安全職責,促其遵守資通安全規定。
- 應使用具合法版權軟體,避免上網下載來路不明之軟體。
- 委外廠商應遵循本政策以及相關程序之規定,不得未經授權使用或濫用本基金之各類資訊資產,若涉及限制使用等級以上業務,應簽署保密切結書。
- 每年至少召開一次管理審查會議,審核本基金資通安全業務執行狀況,建立管理指標量測方式與評估管理指標量測結果。
- 應建立資訊資產風險評鑑機制,每年至少進行一次風險評鑑,並由「資通安全推動小組」審議決定可接受風險值。
- 每年應至少進行一次營運持續計畫及資通安全事件通報程序之演練、測試、檢討。
- 辦理本基金資通安全相關事項之獎懲,依本基金工作規則辦理。
- 為維護資訊作業環境安全,應依下列原則辦理機房設備開關機作業:
- 15.1 遭逢天然災害
- 15.2 發生停電事件
- 15.3 機房設施維護
- 15.4 春節連假期間
- 15.5 其它特殊原因
本政策之頒布,明確宣示維護資通安全的重要性,本基金全體員工、與本基金有業務往來之委外單位及其員工或臨時雇員等應確實瞭解本政策,以維護本基金所有業務之資通安全與永續經營。
本政策經本基金組織代表核定後施行,修正時亦同。