亞太電信股份有限公司(以下簡稱本公司)為維護本公司營運之永續經營,遵循相關法令法規並保護本公司之資訊資產(包括資訊、軟體、實體、人員及服務等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,以確保資訊資產之機密性、完整性、可用性、隱私及個人資料之要求,並強化資訊與通信之資通安全管理制度,期以有效及合理地降低本公司營運風險,特訂定資通安全政策(以下簡稱本政策)作為資通安全管理之準則與遵循依據。
本政策適用於本公司各單位之全體同仁、委外廠商、供應商、其他機關或組織以及所有相關資訊資產之安全管理。
一、 資訊安全(information security):避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽核、組織和軟硬體功能等,以保護公司資訊資產的機密性、完整性、可用性、隱私及個人資料之安全;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質;等同本公司所謂之資通安全或資安。
二、 資訊資產:凡本公司資產,如人員、文件、電子文件、服務設施、網路設施、通訊設施、軟體、硬體、媒體、建築保護設施等皆屬之。
三、 機密性(confidentiality, C):確保只有獲得授權的人員及程式才能存取資訊。
四、 完整性(integrity, I):確保資訊與處理方式精確性及完整性。
五、 可用性 (availability, A):確保獲得授權的使用者在需要時可以用相關資訊資產。
六、 隱私及個人資料(Privacy & Personal Data, P):確保組織內隱私及個人資料之保護必須遵守法令法規之要求。
一、 為達成本公司之任務目標及最高管理階層對資通安全之期許與要求,確保本公司資訊資產之安全,資通安全政策訂為:
(一) 確保本公司相關業務資訊之機密性、隱私及個人資料之安全,防止本公司機敏性資訊、隱私及個人資料免於因內部或外部、蓄意或意外之各種威脅與破壞,致業務資訊遭受竄改、揭露、破壞、遺失或終止服務等風險。
(二) 確保本公司相關業務資訊之完整性、可用性及具強韌性,並正確執行本公司作業與各項業務,以保護本公司之資訊資產安全,確保本公司之設備及網路,內部或外部、蓄意或意外之各種威脅與破壞,而造成服務錯誤或中斷無法使用。
(三) 確保本公司資通安全管理制度運作持續正常。
(四) 確保本公司提供給客戶的產品與服務是安全、可靠及可信賴的。
(五) 中央主管機關要求及法令法規要求。
二、 為達成上述資通安全政策目的,將相關目標訂定如下:
(一) 確保相關資通安全措施或規範符合資通安全政策與現行法令之要求,每半年至少進行一次資通安全稽核。
(二) 每年至少進行一次營運持續計畫之測試及檢核。
(三) 確保資訊資產經風險評估後,受到適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。
(四) 確保所有資通安全事件或可疑之安全弱點,皆依適當通報程序反應,並予以適當調查及處理。
(五) 確保本公司資通安全管理制度運作持續正常。
(六) 定期實施資通安全教育訓練,並視情況實施不定期教育訓練。
(七) 網路建置時,完成部署資安防護設備及異地備援架構,並持續精進。
(八) 本公司配合有關機關之國家安全考量,排除使用有國安疑慮國家製造的產品。
三、 資通安全管理事項 資通安全管理涵蓋14項管理領域事項,避免因人為疏失、蓄意或天然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
(一) 資通安全政策訂定與評估。
(二) 資通安全之組織。
(三) 人力資源安全管理。
(四) 資產管理。
(五) 存取控制安全。
(六) 密碼學。
(七) 實體及環境安全。
(八) 運作安全。
(九) 通訊安全。
(十) 資通系統獲取、開發及維護之安全。
(十一) 供應者關係。
(十二) 資通安全事故管理。
(十三) 營運持續管理之資通安全層面。
(十四) 遵循性。
四、 管理責任
(一) 本公司的管理階層應建立及審查此政策。
(二) 資通安全管理者透過適當的標準和程序以實施此政策。
(三) 所有人員、連線使用單位、簽約廠商和委外服務廠商等,須依據相關安全管理程序作業,以維護資通安全政策。
(四) 所有人員負有報告資通安全事件和任何已鑑別出之安全弱點的之責任。
(五) 本公司所有人員應瞭解於工作期間所有取得之資訊皆為本公司之資產,未經允許,禁止做任何其他未授權之使用。
(六) 本公司與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
(七) 本公司有人員若有任何違反本政策之行為,將依本公司之相關規定進行懲處,並視情節輕重追究其民事、刑事及行政責任。
五、 管理審查
(一) 本政策應至少每年審查乙次,以反應政府法令法規、技術及業務等最新發展現況,以確保資通安全實務作業確實遵守資通安全政策,和確保作業之可行性及有效性,以確保本公司提供資訊服務之能力。
(二) 資通安全政策應由資通安全委員會之管理審查會議,進行資通安全政策審核。 六、 資通安全政策之核准 資通安全政策經資通安全委員會主任委員核准後公布實施,修正時亦同。
六、 資通安全政策之核准
資通安全政策經資通安全委員會主任委員核准後公布實施,修正時亦同。