資通安全政策
本行資通安全管理政策
第一條
臺灣中小企業銀行(以下簡稱本行)為確保本行各項資通系統及資訊資產之安全,健全本行整體資通安全架構及降低營運風險,特訂定本政策。
第二條
本政策用詞,定義如下:
- 資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
- 資訊資產:與本行資訊作業相關之有價值的人事物皆屬之,包括硬體、軟體、資料、文件及人員。
- 資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
- 資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反本政策或保護措施失效之狀態發生,影響資通系統機能運作,構成本政策之威脅。
第三條
資通安全之整體目標在確保資通系統及資訊資產之機密性、完整性及可用性,並防範本行之營運受到資通安全事件衝擊,以降低營運風險。
第四條
本政策適用範圍包含本行各項資通系統及資訊資產,本行全體人員、委外廠商及訪客皆應遵守。
第五條
為有效管理資通安全相關事宜,設置「資通安全管理委員會」,綜理資通安全管理作業事務及監督作業之執行,其設置要點另訂之。
第六條
本行應確實遵守包括但不限於「資通安全管理法」、「個人資料保護法」等相關法令及本行資通安全相關規定,以確保適當使用本行資通系統及資訊資產。
第七條
本行應落實資通系統及資訊資產之盤點,依其重要性予以分類,並針對其風險評估結果訂定管控機制。
第八條
本行為維護資通系統持續營運,須建立資通安全維護計畫及資通安全事件應變機制,並應定期辦理事件演練。
如遇資通安全事件發生,應依相關規定進行通報及應變處理。
第九條
本行應依角色及職能為基礎,針對不同業務類別之人員辦理資訊安全教育訓練及宣導,使本行人員瞭解資通安全重要性,以提高資通安全意識並熟悉相關職責。
第十條
本行應導入相關資通安全管理制度,並視需要通過第三方驗證。
第十一條
資安部應每年檢視本政策,或於發生重大變動時重新檢視,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢,並於每年第一季將前一年度本行資通安全整體執行情形陳報董事會。
第十二條
核心資通系統之轉換、架構重大調整或跨版本升級,應於系統上線前將相關資料陳報至董事(常務董事)會。核心資通系統之定義授權由經理部門訂定之。
前項作業由資訊部彙整陳報,提報內容應包含系統轉換更新之作業項目、方式及期程,其中轉換方式應涵蓋系統轉換前、中、後之準備工作、轉換程序及事件管理等相關內容。
第十三條
本行為確實完成資通安全相關作業,採三道防線分工原則,以確保整體資通安全機制得以有效運行:
- 第一道防線為資通系統管理及使用單位,負責資通系統安全機制之設計及執行。
- 第二道防線為資安部,負責資通安全管理作業之規劃、監控及執行。
- 第三道防線為董事會稽核處,負責資通安全機制獨立稽核之執行。
第十四條
本政策未盡事宜,依法令及本行相關規定辦理。
第十五條
本政策經董事會審議通過後實施,修正時亦同。
