文件名称-彰化银行.docVIP

文件名稱： 機密等級： 文件編號：版 本：V發行單位： 發行日期： 本文件歷次變更紀錄： 版修訂日 修訂者 說 明 核准者 正式發行 處長 2.0 2007/06/01 資訊安全小組 修正資訊安全管理指標 處長 2.1 2007/06/08 資訊安全小組 修正資訊安全管理指標 處長 2.2 2007/12/19 資訊安全小組 修正資訊安全管理指標 處長 2.3 2008/07/02 資訊安全小組 修正資訊安全管理指標 處長 2.4 2009/10/06 資訊安全小組 修正資訊安全管理指標 處長 2.5 2013/01/28 資訊安全小組 修正資訊安全管理指標 處長 2.6 2013/03/07 資訊安全小組 資訊風險科(管制科 處長 2.7 2015/4/20 資訊安全小組 依據ISO 27001:2013標準修訂 處長 目 錄 壹、目的………………………………………………………………1 貳、適用範圍…………………………………………………………1 參、參考依據…………………………………………………………1 肆、定義………………………………………………………………2 伍、資訊安全管理指標…………………………………………………2 陸、資訊安全責任……………………………………………………3 柒、ISMS運作機制…………………………………………………3 捌、資安手冊之修訂及公告……………………………………5 玖、附件…………………………………………………………………5 目的 資訊處(以下稱本處)為提供客戶全方位的金融服務，以『穩定、安全、可靠』(stability, security, reliability)作為資訊安全之目標。以加強資訊系統安全管理之運轉機制，避免內在及外在的威脅，並降低資訊作業風險及保障客戶權益。 為便利本處同仁及外部人員（含約聘僱人員及第三方人員）對於資安相關管理規範之公告與遵循，特制定『資訊處資安手冊』（以下稱為本手冊），共同確保本處資訊系統及服務之機密性、完整性及可用性。 適用範圍 本手冊適用於本處全體同仁、約聘僱人員、第三方人員（88年9月15日台88經字第34735號函訂頒。 「行政院及所屬各機關資訊安全管理規範」，行政院研考會88年11月16日88會訊字第05787號函頒。 「財政部暨所屬各機關（構）資訊安全管理準則」，財政部財稅資料中心91年6月訂頒。 CNS經濟部標準檢驗局，資訊技術-資訊安全管理的實施要則。 財金資訊股份有限公司，資訊安全手冊。 最新版ISO 27001Information technology- Security techniques-Information security management systems-Requirements. 本行「資訊安全政策」。 定義 資訊安全之本質大致可歸為以下3類： 一、 機密性－Confidentiality： 確保只有經授權的人才可以存取資訊。 二、 完整性－Integrity： 確保資訊與處理方法的正確性與完整性。 三、 可用性－Availability： 確保經授權的使用者在需要時可以取得資訊及相關服務。 除了以上3項基本性質外尚可依業務狀況考量認證性(authenticity)、可歸責性(accountability)、不可否認性(non-repudiation)或可靠性(reliability)，其說明如下： 一、 認證性－Authenticity： 確保使用者登入時有適當的驗證程序。 二、 可歸責性－Accountability： 確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。 三、 不可否認性－Non-repudiation： 確保使用者無法否認於系統上完成的作業。 四、可靠性－Reliability：確保作業執行皆有一致結果。 資訊安全管理指標 本處制訂下列管理指標，確保本處資訊安全目標之達成： 一、每年因異常事件中斷服務的總時間占全行性資訊服務時間1.0%以下(達全年時間99.0%以上之可用性)。 二、確保因資訊安全事件、資訊洩漏或其他安全事故，造成本行商譽受損或營運服務暫停中斷達異常事件等級之情事，每季不得超過 4 次。 三、確保相關之資訊安全措施或規範符合國內及海外現行相關法令之要求（每年至少查核一次），不得超過1項違反事件。 四、應依其職務、責任適當授與全體員工資訊安全相關訓練（每年至少執行一次），且課後評量合格率高於80%以上（合格分