資訊安全與隱私管理政策
Information Security and Privacy Management Policy
1. 前言
1-1. 目的
- 規範宏碁雲架構服務股份有限公司(以下簡稱本公司),在應對廣泛的資訊安全威脅以及加強隱私保護下,以安全和一致性的管理機制處理自有和客戶的資訊資產,免於遭受各種可能的資訊安全與隱私洩漏的危害。
1-2. 範圍
- 適用於本公司所有的正式員工、約聘員工、供應商、外包廠商、客戶、雲端租戶。在本政策中,「使用者」一詞將用來概括代表所有前述個體。
- 適用於本公司內部和外部使用者所存取的資訊資產,涵蓋其機密性、完整性、可用性、隱私性。
- 適用於本公司所提供之服務。包括:機房維運服務、網路管理與安全服務、主機託管、雲端服務。詳細內容請參閱「Acer eDC國際認證服務內容對照表」。
1-3. 政策要求
- 必須正式地讓使用者知悉與了解。
- 更新必須註明生效日期。
- 員工應該了解內容且願意遵守。
- 違反資訊安全與隱私相關行為之員工將依公司規定懲處。
- 涵蓋實體與虛擬化環境,不論自有機房或雲端環境皆一體適用。
2. 高階安全管理政策
2-1. 安全治理承諾
- 致力維護資訊資產之機密性、完整性、可用性,以及隱私性。
- 確保相關使用者的隱私權與個人資料不致遭受侵害。
- 提昇員工的資訊安全技能與認知,建立安全及可信賴的形象。
- 建構完善的資訊安全與隱私管理系統,以符合國際相關標準。
- 提供適當與必要的公司資源,以支持管理制度的完善。
- 推動資訊安全與隱私管理的持續改善。
2-2. 安全管理原則
- 依據組織目標與環境,明確識別資訊安全與隱私管理的相關利害關係人與內外部議題,並以政策、程序、標準作業程序、計畫、報告、紀錄等方式予以闡述與落實。
- 本公司作為PII(個人可識別資訊)控制者及PII處理者,依據相關的法律、規範、司法裁決、行政裁決、合約等,訂立應盡的責任與義務,詳細內容請參見「個人資料管理程序書」。
- 建立一致性的資訊安全與隱私管理系統,以文件化與程序化的方式,有系統地處理資訊安全與隱私保護的相關作業。
- 定期執行資訊安全與隱私管理的風險評鑑作業,並評估其風險與機會,以及相對應的處理措施。
- 定期執行資訊安全與隱私管理的內部與外部稽核,並依需求實施相關的矯正措施。
- 定期評估並提供相關資源,以增進員工對於資訊安全與隱私管理的能力、認知、技術。
- 訂定相關的溝通程序,以有效地與相關內外部使用者、利害關係人進行資訊安全與隱私管理議題的溝通。
- 持續進行監視、量測、分析與評估作業,以了解資訊安全與隱私管理作業的適切性、合適性與有效性。
- 對於雲端與虛擬化的網路、運算資源、資料儲存等環境,建立實體化或虛擬化的區隔,以保護各租戶的資訊與隱私資料安全。
- 各項合約與協議,都將基於個人資料與隱私保護的相關法律、規範與業界最佳實務進行。
3. 一般性安全管理政策
3-1. 資訊安全與隱私管理組織
- 為確保資訊安全與隱私管理制度之落實,達成業務、服務持續正常運作,本公司明確定義資訊安全與隱私管理組織以及相關人員之權責。詳細內容請參見「資訊安全與隱私管理組織程序書」。
- 最高權責單位為「資訊安全與隱私管理委員會」,召集人為本公司最高管理主管,成員由召集人遴選各單位主管或專業同仁擔任。除公告及更新資訊安全與隱私管理政策之外,並提供適當之資源與支持。
- 「資訊安全與隱私管理委員會」設立「執行秘書」一職,協助委員會運作與資訊統整。
- 「資訊安全與隱私管理委員會」設立「資安官」一職,負責及監督本公司之資訊安全與隱私管理制度之推動與施行,並兼任本公司「資料保護長」。
3-2. 人力資源安全
- 所有員工均應接受與其工作職務相關之認知教育、訓練與測驗,管理單位亦有責任提供員工足夠之資源以滿足職務上之要求。
- 資訊安全與隱私管理的認知教育與訓練,須依「資訊安全與隱私管理教育作業程序」進行。
- 接觸機敏資訊及系統之員工及特定職位(如部級以上主管、財務、採購及設施管理),對其聘僱需進行背景查證檢核。所有員工及契約人員的契約協議應陳述其資訊安全與隱私管理的責任。
- 員工與契約人員,作業時需依照已制定的政策與程序施行安全事宜,在離職或契約終止後,須依據契約要求履行其保密責任。
- 違反本公司的資訊安全與隱私管理政策,均透過人事單位進行相應的懲處程序。
3-3. 資訊分級
- 本公司資訊的定義包括:資料、文件。資訊的格式包含:數位資訊、紙本資訊。資訊資產則包含資訊與資訊處理的相關設備及設施。
- 本公司的文件安全等級詳細內容請參見「文件管理程序書」。
- 所有資訊資產都需指派擁有者,當擁有者轉調或離職時,必須指派其他員工負責。
- 本公司對於所有資訊的分級,採用一致性的安全架構並與應善盡管理責任。不論其處理技術、來源、格式、存放地點、使用方式,資訊分級系統都一體適用。
- 所有可能接觸到機敏性資訊的使用者,都必須熟悉且遵循本公司之資訊分級政策。
- 資訊分級系統以「必要知道」為原則,亦即資訊只對在工作範圍內有必要知道的人公開。
- 資訊由產生到銷毀的整個過程都應受到保護,無論其儲存地點、取得方式、處理技術或用途,也不分其機敏性。
- 本公司擁有的資訊都設定擁有人,詳載於正式文件。資訊資產內容至少包括資料庫、資料檔案、應用系統、維運文件、訓練教材、操作或支援程序、備用系統等。
- 擁有人對資訊本身之品質、風險評估、資訊分級、決定資訊的用途、建議存取權限負有責任,包括產生、分級、修改、刪除及將擁有的資訊歸檔的權利,但分級需經部門主管或由「資安官」指定。
- 所有系統中機敏性的資訊一定要有存取控制,以確保其不會被不當的公開、修改、刪除或無法利用。
- 須明確定義行動裝置與可攜式儲存媒體。
- 可能影響本公司維運之重要區域,非經核准禁止使用行動裝置與可攜式儲存媒體,若須使用亦須有管制辦法。
- 行動裝置與本公司重要主機所在網路之連線須經核准,其網路存取亦須有適當規範。
- 行動裝置與可攜式儲存媒體若內含本公司機敏性資料,須有適當保護措施防範資料外洩,亦須有查核機制確保資料安全。
- 行動裝置與可攜式儲存媒體若屬本公司資產,遞送、遺失、報廢時須有資料安全措施。
- 非本公司核發之行動裝置,包括私人之筆電、手機、平板等裝置,非經核准均不得與本公司內網連線。
3-4. 存取控制
- 使用者依其職務與權責,以及必要之最小權限原則授予適當權限與帳號。並依公司的規範與程序,進行相關的申請或廢止。
- 存取控制之具體執行步驟及要求,須依「存取控制程序書」進行。
- 使用者擁有的帳號與密碼必須妥善保管,避免洩漏或被他人得知,並依公司或各系統的安全規範進行其生命週期的管理。
- 系統與應用程式須具備存取控管的能力,在其登入、密碼、特權程式或帳號的使用上,須符合公司的安全規範與程序。
- 在虛擬環境或公有雲環境中,須考量不同租戶間的安全區隔機制,確保資源與資訊不會互相存取或干擾,並須加強各虛擬資源的安全防護機制。
3-5. 密碼學管理
- 對外提供服務之資訊系統,其連線傳輸若涉及機敏或隱私資訊,須有相關的加密或密碼措施,且金鑰在其生命週期中,必須有相關的保護機制。
- 資訊系統若核發金鑰給租戶或使用者時,須確保其從登錄至廢止都有相關的程序與管控機制。
- 機敏文件或資訊,當存放在資訊系統或個人電腦時,須依據公司規範,進行相關加密措施。
3-6. 實體與環境安全
- 辦公室與機房環境應有明確的安全邊界界定,並訂定相關的安全要求與防護規範,並執行適當的安全管控措施。
- 辦公室與機房場所須採取適當的門禁管制,以防止對資訊資產不當存取或造成損害。提供服務之資訊系統均須放置於有門禁管制之空間,且只允許授權人員進入。
- 辦公室與機房須安裝適當的安全裝備以偵測各種災害,且安全裝備須定期檢查。
- 訪客進出辦公室須由接待同仁陪同至指定區域或會議室,不允許進入一般辦公空間。
- 訪客需經過申請審核程序並進行進出入登記,方可進入機房區域,並由相關部門同仁陪同作業。
- 公用區域與裝卸物品區域,需與辦公室、機房建立安全的區隔,並設置相關的防護或監視設施。
- 公用設施與電力、通訊管道,須建立安全的防護機制,以確保其可用性與完整性。
- 經常性出入的物品或設備,須依「人員、物品、車輛進出管理作業程序」進行。
- 資訊資產的機敏資訊安全移除,須依「資訊資產報廢作業程序」進行。
- 若辦公室或機房空間無常駐人員看管,應建立相關的監測與安全防護措施。
- 員工須遵守電腦螢幕保護及桌面淨空原則,存放機敏資料之空間或櫥櫃的擁有人,在離開辦公場所時須將其上鎖。
3-7. 維運安全
- 對於資訊系統與服務的相關維運文件、容量與異動管理,皆依本公司ISO/IEC 20000規範執行。
- 本公司針對正式維運、開發、測試的環境,皆進行相關的網路區隔,並確保正式資料不用於開發與測試環境。
- 維運的資訊系統與個人電腦,必須有惡意程式防範機制,且須確保防範機制之持續有效。
- 存放在資訊系統中的重要資訊須定期備份,以滿足法律、規範或合約的要求。重要資訊是指於災害發生後可協助業務或維運活動回復運作者。
- 資訊系統的管理或存取操作,必須保存日誌資訊,且須維護其資訊的機密性、完整性、可用性與隱私性,並確保日誌紀錄時間的同步要求。
- 相關日誌資料僅限授權人員存取,並依法律、規範、合約要求設定保存期限。
- 相關日誌資訊須能用於維運狀態或趨勢之分析、異常事件之調查或證據之保存。
- 為了防止員工安裝或使用不適當軟體,導致惡意程式進行資料竊取、資訊系統破壞或開啟後門,維運的資訊系統中所安裝或使用的軟體,須符合「入侵防範與系統強化作業程序」的規範。
- 因工作需要須使用規範外之軟體,要經過申請及審查程序,申請者須填寫「軟體使用申請單」,且經程序核准後才可安裝使用。
- 定期執行弱點掃瞄、威脅偵測等防護手段,以確保資訊系統的安全,並針對其結果進行後續的強化作為。
3-8. 通訊安全
- 網路連線須有申請及核准的程序,且須指定權責人員維護其組態。員工非經授權不得任意安裝網路通訊相關軟硬體於本公司實體或虛擬網路上。
- 採取適當的網路防護措施並建立相關的防護規則,以確保內部、雲端網路之安全與管控的不可規避性,且防護規則須有備份。
- 各資訊系統與服務應視其安全等級與應用,建立適當的區隔機制,以避免任意或惡意的連線行為。
- 員工連線網路與使用電子郵件時應注意其安全性,且須有安控機制,以降低被惡意攻擊或資料外洩的風險。
- 當網路、電子郵件、實體媒體,被用於資料傳輸時,原則上以傳輸非機敏性資料為主。若是須傳送機敏或隱私相關資料時,應在加密的保護措施下進行,並予以文件化紀錄。
- 當與公司外組織或人員進行網路存取與資料交換時,需遵從公司規範,必要時須訂立機密性或保密協議。
3-9. 應用系統取得、發展及維護
- 應用系統之安全監督及管理,由本公司相關部門之最高主管負責,職責包括審查系統取得或開發之安全考量、依安全要求監督系統維護作業。
- 系統取得或開發前須以資料安全性與隱私性,作為核心進行業務風險評估,並考慮內外部的法規與標準要求,且相關之需求與評估須文件化予以紀錄留存。
- 資訊安全設計應納入系統開發過程,涵蓋需求分析、系統開發、系統測試。輸入、輸出、內部處理須考量機敏性資料的安全及維持系統之正常運作。
- 應用系統之開發環境與正式環境須進行隔離。測試資料須有適當的管制措施。
- 應用系統(含原始碼)之維護、版本控制、變更、存取、資料備份與回復等,須有安全管制機制或程序。
- 委外開發合約須明確描述資訊安全要求、隱私管理要求與保密義務。
3-10. 供應商管理
- 在與供應商的合約或協議中,需明訂雙方對於資訊安全與隱私保護的權責與義務,確保在處理、存取、儲存相關資訊時皆能符合法律與規範的要求
- 供應商需經過必要的資格評估、驗收程序和績效評鑑,以確認供應商的能力符合採購的條件。有關供應商之資格評估和績效評鑑具體執行步驟及要求,依本公司ISO/IEC 20000規範執行。
3-11. 安全事件管理
- 舉凡對於資訊資產之機密性、完整性、可用性、隱私性,可能造成損害,或違反相關法律、規範、合約之事件,在發現時須立即進行通報與處理,並依職責與規定對主管機關或當事人揭露。
- 須準備、定期更新及測試安全事件應變程序(詳見「事故管理程序書」),包含解決問題的詳細步驟和支援資訊,確保資訊安全與隱私權的危害能及時、有效地處理。
- 安全事件應變程序須定義不同的處理層級,以及處理各層級事件所須的程序。
- 安全事件發生後須收集相關資訊並文件化紀錄,直到本公司不進行法律行動或使用該等資訊。
3-12. 營運持續
- 因應各種災害可能導致的風險,對於各項資訊資產必須有適當的備份或備援機制,並制定各項營運與服務的備份及復原計畫。
- 計畫包含復原時間目標、復原點目標、回復組織與職責、災害通報程序、客戶通知程序、資訊安全與隱私保護要求等。
- 定期演練營運與服務中斷的復原相關程序,並記錄演練過程與成果,或是產生改善方案或建議。
3-13. 遵循性
- 每年定期進行法規符合性審查作業,並定期檢視相關政策、程序、作業程序的適宜性,以符合資訊安全與隱私保護的要求。相關法規需填寫於「資訊安全與隱私管理法規符合審查表」中。
- 針對智慧財產權與個人資料的處理,提供統一的聯絡窗口與程序,以進行相關的申訴、更正或移除的作業。
- 營運所產生的紀錄,包括日誌紀錄、存取紀錄,其存取限制與保留期間,須符合法律、合約與政策的要求。
- 營運所使用與提供給租戶的加密措施,需進行存取的管控並確保其安全性。
- 相關政策由管理階層制定、核准、公布,並傳達給所有員工與相關外部團體。本政策應製作公開版本,供公司員工與外部關係人閱覽,以增進資訊安全與隱私管理規範的遵循,並加強資訊透明性。詳見:「Acer eDC資訊安全與隱私管理政策」。
- 年度必須產出「資訊安全業務分析報告」,以了解政策落實程度、執行成效、相關利害關係人與團體的期望、潛在的風險。
- 訂立資訊安全與隱私管理之細部量化目標,於季度、年度進行稽核檢視。並列於「資訊安全與隱私管控作業程序書」中,以持續性進行監控、測試與驗證作業,確保相關的政策與規範已經被落實。
- 「資訊安全與隱私管理委員會」應定期檢視此政策(如每年一次或當風險因素改變時)。
- 本政策中的條文,若有實際執行的困難,在情況急迫時得經「資安官」的書面同意,以替代方案執行。但此替代方案須於一個月內檢討及審議,必要時再進行相關政策的異動。
本政策最後更新時間:2023年11月30日。