資訊安全政策
1. 目的
創惟科技股份有限公司(以下簡稱本公司)為了強化資安管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關者之要求,使其避免遭受內、外部的蓄意或意外之任何威脅,以達到資訊安全之目的。
2. 範圍
創惟科技股份有限公司(以下簡稱本公司)為了強化資安管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關者之要求,使其避免遭受內、外部的蓄意或意外之任何威脅,以達到資訊安全之目的。
2. 範圍
2.1 適用於本公司資訊資產、系統及服務之安全管理作業,涵蓋機密性、完整性和可用性。
2.2 適用於本公司全體員工、提供資訊服務廠商及第三方人員。
2.3 本公司會維持資訊安全管理系統有效性並秉持持續改善的精神加以維護管理
2.2 適用於本公司全體員工、提供資訊服務廠商及第三方人員。
2.3 本公司會維持資訊安全管理系統有效性並秉持持續改善的精神加以維護管理
3. 定義
資訊資產:係指為維持本公司資訊業務正常運作之硬體、軟體、服務、文件及人員。
機密性:確保只有經授權的使用者可以存取資訊。
完整性:確保資訊與處理方式的正確及完整,沒有遭到變更及竄改。
可用性:確保經授權的使用者在需要時,可以適時取得資訊及相關資產。
營運持續運作之資訊環境:係指為維持本公司各項業務正常運作所需之電腦作業環境。
本公司資訊安全政策
「資訊安全,晶片設計的隱形護盾」
強化本公司的資訊安全管理,建立「資訊安全,晶片設計的隱形護盾(Information Security, The Invisible Shield of Chip Design)」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務。
資訊資產:係指為維持本公司資訊業務正常運作之硬體、軟體、服務、文件及人員。
機密性:確保只有經授權的使用者可以存取資訊。
完整性:確保資訊與處理方式的正確及完整,沒有遭到變更及竄改。
可用性:確保經授權的使用者在需要時,可以適時取得資訊及相關資產。
營運持續運作之資訊環境:係指為維持本公司各項業務正常運作所需之電腦作業環境。
本公司資訊安全政策
「資訊安全,晶片設計的隱形護盾」
強化本公司的資訊安全管理,建立「資訊安全,晶片設計的隱形護盾(Information Security, The Invisible Shield of Chip Design)」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務。
4. 主題特定政策
4.1 存取控制
4.1.1 限制對資訊及資訊處理設施之存取。
4.1.2 確保授權使用者得以存取,並避免系統及服務的未授權存取。
4.1.3 令使用者對保全其鑑別資訊負責。
4.1.4 防止系統及應用遭未經授權存取。
4.1.2 確保授權使用者得以存取,並避免系統及服務的未授權存取。
4.1.3 令使用者對保全其鑑別資訊負責。
4.1.4 防止系統及應用遭未經授權存取。
4.2 實體及環境安全
4.2.1 防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
4.2.2 防止資產之遺失、損害、遭竊或破解,並防止組織運作中斷。
4.3 資產管理
4.3.1 識別組織之資產並定義適切之保護責任。
4.3.2 確保所有資產依其對組織之重要性,受到適切等級的保護。
4.3.3 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
4.3.2 確保所有資產依其對組織之重要性,受到適切等級的保護。
4.3.3 防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。
4.4 資料傳送
4.4.1 確保資料傳送可追溯性及不可否認性 。
4.4.2 維持傳送作業之可靠性及可用性。
4.4.3 實體傳送使用破壞存跡或抗破壞之控制措施。
4.4.4 使用規定之電子傳輸媒體傳遞資料,不可因貪圖方便而任意使用非法與不當之傳輸媒體。
4.4.5 不得利用任何傳輸媒介透過資料傳遞、訊息傳送、發言或視訊等方式透露機密或敏感性資訊給其他組織或人員。
4.4.6 內部資訊網站須依權責及工作需求核發適當權限,以管制相關文件之存取。
4.5 端點裝置之安全組態及處置
4.5.1 對使用者端點裝置分發及回收 。
4.5.2 對使用者端點裝置軟體安裝進行控制。
4.5.3 對使用者端點裝置進行安全性更新。
4.5.4 使用者端點裝置經登入程序使用。
4.5.5 防範惡意軟體對使用者端點裝置危害。
4.5.6 管制私人裝置使用。
4.5.2 對使用者端點裝置軟體安裝進行控制。
4.5.3 對使用者端點裝置進行安全性更新。
4.5.4 使用者端點裝置經登入程序使用。
4.5.5 防範惡意軟體對使用者端點裝置危害。
4.5.6 管制私人裝置使用。
4.6 網路安全
4.6.1 網路使用者經授權後,只能在授權範圍內存取網路資源。
4.6.2 對使用網路系統的電腦連接線路,應適當加以控制,以減少未經授權之系統存取或電腦設施的風險。
4.6.3 設定網路區隔之規劃,應遵循內外網路實體區隔規定,並應禁止個人無線網路裝置破壞內外網路實體區隔之安全機制。
4.6.4 非經授權嚴禁使用無線網路及私有有線設備與網路介接。
4.6.2 對使用網路系統的電腦連接線路,應適當加以控制,以減少未經授權之系統存取或電腦設施的風險。
4.6.3 設定網路區隔之規劃,應遵循內外網路實體區隔規定,並應禁止個人無線網路裝置破壞內外網路實體區隔之安全機制。
4.6.4 非經授權嚴禁使用無線網路及私有有線設備與網路介接。
4.7 資訊安全事件管理
4.7.1 確保對資訊安全事件之管理的一致及有效作法,包括對安全事件及弱點之傳達。
4.7.2 健全資訊安全事件通報體系。
4.7.2 健全資訊安全事件通報體系。
4.8 資訊備份
4.8.1 依照資訊之可用性及完整性需求,制定個資訊備份週期、方式及保存期限,並測試其有效性。
4.8.2 依照備份資料之機密性需求加以防護,避免衍生之其他資安事件。
4.8.2 依照備份資料之機密性需求加以防護,避免衍生之其他資安事件。
4.9 密碼學
4.9.1 依照法規、客戶要求及資訊資產風險設置加密機制。
4.9.2 管制金鑰產生、分派啟用、儲存、更新、廢止到封存和銷毀等作業。
4.9.2 管制金鑰產生、分派啟用、儲存、更新、廢止到封存和銷毀等作業。
4.10 資訊分類分級及處理
4.10.1 資訊標示涵蓋所有格式的資訊及其他相關聯資產
4.10.2 使人員及其他關注方認知標示要求。
4.10.3 提供所有人員必要之認知方法,以確保正確標示資訊並進行相對應的處理 。
4.10.2 使人員及其他關注方認知標示要求。
4.10.3 提供所有人員必要之認知方法,以確保正確標示資訊並進行相對應的處理 。
4.11 技術脆弱性管理
4.11.1 定義並建立與技術脆弱性管理相關聯之角色及責任 。
4.11.2 偵測其資訊資產是否存在脆弱性。
4.11.3 軟體更新管理過程,以確保對所有獲授權軟體,安裝最新經核可之修補程式及應用程式之更新套件。
4.11.4 使用適合所使用技術之弱點掃描工具,以識別脆弱性並查證脆弱性修補是否成功 。
4.11.2 偵測其資訊資產是否存在脆弱性。
4.11.3 軟體更新管理過程,以確保對所有獲授權軟體,安裝最新經核可之修補程式及應用程式之更新套件。
4.11.4 使用適合所使用技術之弱點掃描工具,以識別脆弱性並查證脆弱性修補是否成功 。
5. 適用性聲明書
依據「ISO/IEC 27001資訊安全管理系統-要求」要求產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,資訊安全管理委員會應重新定義控制措施之適用性。
6.實施
本政策經主任委員核定後實施,修訂時亦同。