資通安全政策

5.1 資通安全目標管理政策

5.1.1 本公司應規範並確保對法律及契約要求事項之遵循，藉適切法規、契約要求事項識別、智慧財產權與紀錄保護、個人可識別資訊隱私保護以及密碼式控制措施監管等管控，避免本公司業務執行過程違反本公司內部規定及有關資通安全之法律、法令、法規或契約義務之安全要求事項。

5.1.2 本公司應規範並定期執行資訊安全審查，藉資通安全獨立審查、政策標準遵循性查核及技術遵循性審查等機制，確保本公司各項資通安全政策、程序及實作之有效性與法規遵循符合性。

5.2 資通安全目標管理作業指引：為確保本公司各項資訊處理作業可達成既定之資通安全目標管理，有效防範因執行績效不彰而影響本公司正常運作，有關資通安全目標管理作業應遵循以下作業指引執行：

5.2.1 目標制訂：

5.2.1.1  資訊安全運作的高階目標在資訊安全政策文件中進行了描述，為確保管理系統運作之有效性，必須明確設定細部目標，並且適時進行監控、測量、分析和評估。目標設定時，可考量下列面向：

5.2.1.1.1  營運：組織的營運活動受保護的程度。

5.2.1.1.2能力：可用的知識、技能和經驗，主要為組織內部需求。

5.2.1.1.3  成本：維護和改進管理系統所需的財務資源。

5.2.1.1.4  資源利用：如何有效地利用組織資源。

5.2.1.1.5風險降低：在可接受的限度內處理已知風險的程度。

5.2.1.1.6  其他：不屬於上述任何領域的適當目標。

5.2.1.2  本公司資通安全管理代表應召集相關部門，於每年12月年底前，完成本公司資通安全執行績效管理數據蒐集與分析，據以建立本公司年度資通安全目標，填寫於「資訊安全目標設定檢討表(I-2-05-01)」。

5.2.1.3管理代表應依據ISO 27001國際標準以及本公司程序要求，在本公司重要資通安全管控流程評估設定適當之監測點，並應將資通安全目標設定為可衡量之量化目標，編撰成「資通安全目標有效性量測表(I-2-05-02)」，呈資通安全長審核後制訂之。

5.2.2      目標達成規劃：

5.2.2.1 為實現目標，必須有明確規劃，確保獲得充足資源與最高管理層的全力支持。

5.2.2.2 「資訊安全目標設定檢討表(I-2-05-01)」列出了實現每個目標所需的任務或要求，以及每個目標之負責人和完成時間表。評估每項任務成功與否的方法，將根據任務的性質而有所不同。

5.2.2.3 資訊安全推動小組應管制目標達成進展，如果特定目標可能無法在目標時間範圍內完成，則應評估對相關目標的影響，並定期向最高管理層報告。由最高管理層決定是否採取行動，例如增加可用資源，以提高預期完成時間。

5.2.2.4 如果資訊安全目標必須變更，相關規劃也需要進行修訂。相關目標可能因內部和外部稽核結果、風險評估成果或管理審查決議而變更。必要時，應創建更詳細的計劃，以控制目標達成所需的活動並考慮內部和外部依賴性。

5.2.3 目標達成所需資源或財務支援：需求時，應訂定所需額外資源或經費支援，並明確律定提供時程。

5.2.4 目標公告與施行

5.2.4.1  本公司「資訊安全目標設定檢討表(I-2-05-01)」經資通安全長核定後公告施行之。

5.2.4.2  本公司資通安全管理代表應依資通安全目標之要求項目，確實要求本公司資通安全工作小組各分工同仁確實管制執行，期能達成年度資通安全目標。

5.2.5 績效監督、量測及分析之作業

5.2.5.1  資訊安全管理系統之績效監督，透過下列項目資料彙整與分析：

5.2.5.1.1 管理系統運作績效監督，由每年度內部稽核進行評估。

5.2.5.1.2 風險及機會回應實施成果之績效監督，依全景分析所設定回應實施成果之相關營運持續目標，列入「資訊安全目標設定檢討表(I-2-05-01)」進行管控。

5.2.5.1.3  資訊安全管理重要活動之監控、量測、分析與評估項目，則制訂與記錄於「資通安全目標有效性量測表(I-2-05-02)」，呈權責部門主管及管理代表核閱。

5.2.6 若資通安全目標多次無法達成，管理代表得視需要，依「矯正及預防措施管理程序書(I-2-04)」之規定，要求相關單位研擬改善措施。

5.2.7 目標修訂與持續改善：本公司每年定期檢討資通安全目標，當管理代表發現資通安全目標不適當時，得重新修訂「資訊安全目標設定檢討表(I-2-05-01)」與「資通安全目標有效性量測表(I-2-05-02)」，經資通安全長核定後管控執行。