2.資訊安全政策(CC-12000,年度查核)
(1) 公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資
訊作業之安全水準。
(2) 制訂資訊安全政策,應包括下列事項:
a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
遵守之相關規定。
c.推行資訊安全工作之組織、權責及分工。
d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
。
(3) 公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要
求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、
提供資訊服務之廠商共同遵行。
(4) 公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章
、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,
前開之評估工作應留存相關紀錄。
(5) 資訊安全政策之評估,應以獨立及客觀之方式進行,並由內部或委
託外部專業機構辦理。
(6) 公司每年應將前一年度資訊安全整體執行情形,由負責資訊安全之
最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行
情形聲明書,並提報董事會通過,於會計年度終了後三個月內將該
聲明書內容揭露於公開資訊觀測站。
|