修訂日期
: 94 年 7 月13 日 |
| 第一章、總則
|
| | 第一條、 | 依據「日盛金融控股股份有限公司作業風險管理規則」,訂立本「日盛金融控股股份有限公司資訊安全辦法」做資訊安全管理依據。本辦法將定期評估及以書面、電子或其他方式告知所屬員工、連線作業之機構及廠商共同遵行,以符合組織的資訊安全需要以及相關主管機關法規規範。 |
| 第二章、
適用聲明 |
| | 第二條、 | 本辦法適用範圍為日盛金融控股股份有限公司暨其子公司的全體員工,對於資訊系統的產生、修改、消滅與使用上應遵循的安全規範。除特定作業之另行頒佈不適用聲明外,相關資訊安全細則的產生均以此為資訊安全辦法基準。 |
| 第三章、資訊安全組織及權責 |
| | 第三條、 | 資訊安全辦法、計劃及技術規範之研議、建置及評估等事項,由資訊處權責單位負責辦理。 |
| | 第四條、 | 資訊安全系統之安全需求研議、管理及保護等事項,由業務單位協同資訊處權責單位辦理。 |
| | 第五條、 | 資訊處必須指定一位以上職務負責人負責資訊安全方案。 |
| | 第六條、 | 稽核作業的執行及管理事項的追蹤由稽核權責單位負責辦理。 |
| | 第七條、 | 高層主管應授權資訊安全方案職務負責人員,就資訊安全方案之健全與相關法規之適法性,主導建立各資訊系統的資訊安全控制點。各資訊負責人員亦有義務配合建立相關的資訊安全控制點。 |
| | 第八條、 | 資訊安全方案職務負責人員應持續監控各資訊負責人員是否依規定落實執行資訊安全各控制點的相關作業。 |
| | 第九條、 | 資訊安全方案職務負責人員應協助各資訊負責人員列出資訊安全步驟或衍生文件之例外或偏離情況,並就所列出之例外或偏離情況制訂應對管理作業。
第四章、 人員管理及訓練 。 |
| | 第十條、 | 對於資訊相關職務及工作,應進行安全評估,並於人員晉用、工作及任務指派時,審慎評估人員之適任性,並進行資訊安全考核。 |
| | 第十一條、 | 所有人員、須接受資訊安全權責單位所辦理的資訊安全教育訓練或確實了解資訊安全宣導事項,以建立全體員工資訊安全之認知,藉以提升全體員工資訊安全水準。 |
| | 第十二條、 | 資訊系統之設計、管理、維護與操作人員,應適當分工,委派權責,並視需要建立人力備援制度。
|
| | 第十三條、 | 各單位離(休)職人員,應立即取消各項資源存取權限,並列入人事單位離(休)職之必要手續。
第五章、 資訊資產安全管理。 |
| | 第十四條、 | 應建立資訊系統資產等級之分類,以及相對應之管控層級作業。 |
| | 第十五條、 |
所有資訊系統資產的新增、刪除與修改皆須保存記錄,並依其所應保存層級保存之。 |
| 第六章、
資訊系統管理 |
| | 第十六條、 | 應採行防範及保護措施,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
第十七條、 針對資訊系統的新增、變更與移除與使用等作業,建立相對管控機制。 |
| 第七章、
網路安全管理 |
| | 第十八條、
| 與外界網路連接之網路,應以防火牆及其他安全設施,控管外界與機關對組織內部的網路傳輸與資源存取。 |
| | 第十九條、 | 對於通訊設備的新增、變更與使用等作業須設置控管措施,以避免遭未經授權之存取或使用而致使資訊遭竄改、損毀、揭露及影響設備的穩定性。 |
| | 第二十條、 | 為預防網路設備使用或中斷,須定期維護網路系統之可用性,避免因無法取用網路資源而發生漏失。 |
| 第八章、
存取控制 |
| | 第二十一條、 | 所有資訊系統及資料的存取控制,應依據組織內核可標準及符合主管機關相關法規規定訂定之。
|
| | 第二十二條、 | 所有資訊系統須訂定通行密碼原則與定期進行變更作業。 |
| | 第二十三條、 | 組織人員職務調整及異動時,應依資訊系統存取授權規定,調整其資源存取。 |
| | 第二十四條、 | 對於以遠端登入方式進行系統維修者,應加強安全控管,並克盡其安全保密權責。 |
| | 第二十五條、 | 資訊處管理人員應依各級人員執行任務時所必要之資訊系統存取權限,設定賦予其所應有的適當權限。 |
| | 第二十六條、 | 評估存取資料之重要性及價值,採用資料加密、身分鑑別、電子簽章等技術或措施,以防範資料被竊取、竄改、刪除、及未經授權之存取。
第九章、 軟體管理與維護。 |
| | 第二十七條、 | 為保護資訊處理系統的完整性,控制變更程序有其必要。系統變更及手動程序改變都須有控制變更程序。
|
| | 第二十八條、 | 員工須依照公司規定安裝及使用軟體,以避免造成資源或資訊之不正當使用。員工對於使用的軟體應為執行組織業務行為而使用之。 |
| | 第二十九條、 | 各單位須依據智慧財產權之相關規定,以避免因未取得或超出廠商授權之軟體,而引起的訴訟或糾紛。 |
| | 第三十條、 | 自行開發或委外開發軟體,須將資訊安全需求納入考量;軟體系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免後門、不當軟體及電腦病毒等危害系統安全。
|
第十章、 實體及環境安全管理 |
| | 第三十一條、 | 為保護資訊處理中心免遭實體傷害,應建立門禁管控。 |
| | 第三十二條、 | 系統伺服器應安置於機房內,並由資訊作業人員專責管理,並管制相關人員進出及記錄。 |
| | 第三十三條、 | 主機應安裝適當於安全偵測及防制設備、各項安全設備應依廠商的使用說明定期檢查。 |
第十一章、
業務永續運作計劃管理 |
| | 第三十四條、 | 建立資訊安全事件之正式通報程序及管理。 |
| | 第三十五條、
| 評估各種人為及天然災害對公司正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員權責,並視調整更新計劃
|
| 第十二章、 資訊系統使用記錄 |
| | 第三十六條、 |
所有資訊系統的使用,須落實保留使用紀錄。 |
| | 第三十七條、 | 資訊系統使用記錄的保存,須符合企業需求以及主管機關相關法規要求。
|
| 第十三章、 附則 |
| | 第三十八條、 | 本辦法經董事長核定後施行,修正時亦同。
|