羽研部落

資訊安全要求事項：

//第一部分為政策依據參考

第一條：確實遵守「個人資料保護法」、「著作權法」、「電子簽章法」等資訊安全相關法令。

 

//第二部分為資訊安全定義

第二條：為能有效確保本中心之資訊安全，應針對各資訊安全領域訂定資訊安全規範。

 

//第三部分為資訊安全目標和資訊安全涵蓋範圍

第三條：資訊安全之目標，係為確保本公司資訊的合法存取，於可能遭受外力入侵時，亦能提供完整、未中斷之資訊系統運作；於​事故發生時，作迅速必要之應變處置後，能在最短時間內回復正常運作，以降低該事故可能帶來之損害。 資訊安全涵蓋範圍如下：

1. 資訊安全權責分工

2. 人員安全管理及資訊安全教育訓練。

3. 電腦系統安全管理。

4. 網路安全管理。

5. 系統存取控制管理。

6. 系統發展及維護安全管理。

7. 資訊資產安全管理。

8. 實體及環境安全管理。

9. 業務永續運作計畫管理。

10. 其他資訊安全管理事項。

 

//第四部分為規範項目和注意事項

第四條：資訊安全教育及訓練應注意辦理事項如下：

1. 應針對管理、業務及資訊等不同工作類別之需求，辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升本公司資訊安全水準。

2. 應加強資訊安全管理人力之培訓，提升本公司資訊安全管理能力。前項資訊安全教育及訓練相關事宜，由資訊處辦理。

 

//第五部分為資訊安全小組權責

第五條：為防範電腦病毒之侵襲，應購買合法防毒軟體，並定時更新相關病毒碼及掃毒引擎。 為有效推行資訊安全工作，應成立「資訊安全推行小組」，統籌資訊安全政策、計畫、資源調度等協調及研議事項。

第六條：前項小組召集人，由總經理指定副總經理一人擔任之，負責資訊安全管理事項之協調及推動；執行秘書由資訊長擔任；小組成員由經營管理處、風險管理處、財務管理處、行政管理處及資訊處等單位主管擔任；秘書作業，由資訊處負責。

 

//第六部分為資安事件處理辦法

第七條：各單位如發生資通安全事件，應即通報資訊處處理，並由資訊處依主管機關規定辦理通報。屬重大偶發事件時，應依「重大偶發事件危機處理須知」規定辦理。

第八條：辦理資訊業務委外作業時，應於事前研提資訊安全需求，明定廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期予以查核。

第九條：員工違反資訊安全相關規定，其應負之資訊安全責任依紀律程序處理。

第十條：本政策至少每年經「資訊安全推行小組」評估一次，以符合相關法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。

 

//最後部分為附則

第十一條：本政策未盡事宜，悉依有關法令及本公司相關規定辦理。

第十二條：本政策經董事會通過後實施；修正時亦同​。​​​​​​​

 

Ps: 以上為範例寫法，各個部分依公司之規範可拆分為多條描述。