資安專區
資訊安全政策
第一條
目的
本政策為強化國票綜合證券股份有限公司(以下簡稱本公司) 之資訊安全管理,確保資訊資產之機密性、完整性及可用性,並提升同仁對資訊安全之認知,以保障員工、客戶與本公司之權益,採行適當且充足之資訊安全管控措施,確保本公司資訊蒐集、處理、傳送、儲存及使用之安全。
本政策為強化國票綜合證券股份有限公司(以下簡稱本公司) 之資訊安全管理,確保資訊資產之機密性、完整性及可用性,並提升同仁對資訊安全之認知,以保障員工、客戶與本公司之權益,採行適當且充足之資訊安全管控措施,確保本公司資訊蒐集、處理、傳送、儲存及使用之安全。
第二條
政策依據及資訊安全標準
本公司資訊安全政策係依據「個人資料保護法」、「資通安全管理法」、「建立證券商資通安全檢查機制」及相關主管機關法令與業務需求訂定。
本公司資訊安全政策係依據「個人資料保護法」、「資通安全管理法」、「建立證券商資通安全檢查機制」及相關主管機關法令與業務需求訂定。
第三條
資訊安全定義及範圍
一、
資訊安全定義
(一)
資訊資產
係指蒐集、產生、運用資訊,以及為完成以上工作所需使用相關資產,至少應包括人員、設備、系統、資訊、資料、網路及環境等。
係指蒐集、產生、運用資訊,以及為完成以上工作所需使用相關資產,至少應包括人員、設備、系統、資訊、資料、網路及環境等。
(二)
資訊安全
係指採用一系列有計劃,並且持續性之控制措施,以保護資訊資產之機密性、完整性、可用性及適法性。
係指採用一系列有計劃,並且持續性之控制措施,以保護資訊資產之機密性、完整性、可用性及適法性。
(三)
資訊作業
係指蒐集、產生、運用資訊之作業。
係指蒐集、產生、運用資訊之作業。
(四)
使用者
指正式員工、臨時雇員、訪客與本公司有業務往來廠商(含員工、臨時雇員等)及其他經授權使用資訊資產人員。
指正式員工、臨時雇員、訪客與本公司有業務往來廠商(含員工、臨時雇員等)及其他經授權使用資訊資產人員。
(五)
關注方
係指可影響、受其所影響、亦會接收或回饋本公司資訊安全需求與期望之組織、機構或個人。
係指可影響、受其所影響、亦會接收或回饋本公司資訊安全需求與期望之組織、機構或個人。
二、
適用範圍
本政策闡明本公司員工應遵循之資訊安全政策,以及在資訊安全工作規劃、實踐與持續改進過程中所應扮演之角色與權責。範圍包括:
本政策闡明本公司員工應遵循之資訊安全政策,以及在資訊安全工作規劃、實踐與持續改進過程中所應扮演之角色與權責。範圍包括:
(一)
組織與人員:所有員工、約聘雇人員、協力廠商及顧問等。
(二)
資料文件:所有資料、文件、公文與報告等。
(三)
軟體資訊資產:所有應用系統、工具程式、套裝軟體、資料庫、作業系統等。
(四)
硬體資訊資產:所有伺服器,個人電腦,儲存媒體,終端設備、通訊線路等。
第四條
資訊安全目標及原則
一、
資訊安全目標
(一)
確保本公司資訊資產機密性,落實資料存取控制,資訊需經授權人員方可存取。
(二)
確保本公司資訊作業管理完整性,避免未經授權修改。
(三)
確保本公司資訊作業持續運作,符合營運服務水準,已達到可用性標準。
(四)
確保本公司資訊作業均符合相關法令規定要求。
(五)
確保本政策適用對象對於資訊安全之認知與遵行。
二、
資訊安全原則
(一)
本公司應指定副總經理或高層主管人員,綜理資訊安全政策推動、資源調度事務及督導資訊安全管理事項,並建立資訊安全組織及訂定其權責與分工。
(二)
本公司應每年實施資訊安全相關教育訓練與宣導符合各項資訊安全目標、資訊安全政策及法律規範下之責任,並留存紀錄。
(三)
本公司應充分提供資源以建立、實作、運作、監視、審查、維持與改進資訊安全管理系統。
(四)
本公司應維護本公司資訊安全,持續改善資訊安全品質,減少資訊安全事故發生,以保障客戶權益。
(五)
本公司應鑑別資訊安全管理制度之內外部利害關係人,考量其對本公司之資訊安全需求與期望,決定內外部所需之溝通,並考量可能影響資訊安全管理制度之內外部議題。
(六)
本公司應制定適用之資訊風險評鑑方法且定期執行風險評鑑作業,並依據評鑑結果訂定風險處理計畫,以協助本公司進行資訊風險控管。
(七)
為確保資訊安全控制措施有效性,應規範資產盤點作業、存取控制要求、落實通訊安全管理及確保工作區域場所安全。另應規範外部單位資訊作業注意安全事項及明訂外部人員責任範圍。
(八)
為利本公司資訊資產管理,資訊資產應列有清冊,並應定期清查及適當的分類分級,並依據分類分級結果訂定保護措施及標示。
(九)
資訊作業或程序開發、修改及建置應遵循資訊安全目標之規範辦理,同時依業務執行之實際需求訂定營運持續計畫,並定期測試演練。
(十)
本公司應訂定資訊系統相關操作及日常維運作業程序,以供本公司負責同仁予以遵循。
(十一)
本公司應遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。
(十二)
本公司資訊安全管理系統運作所產生之文件、表單及紀錄之管制、核發與變更均應依據本公司文件管制相關作業程序之規定辦理。
(十三)
本公司應透過資訊安全內外部稽核結果報告、資訊安全事件分析、矯正措施及管理審查等機制,持續增進資訊安全管理系統之有效性。
第五條
資訊安全政策管理及評估
本政策應至少每年評估一次,並留存相關紀錄,以反映法令規章、技術及資訊業務等最新發展現況及內外環境等因素之變迭。確保資訊安全實務作業之有效性,必要時並得委託外部專業機構辦理。
本政策應至少每年評估一次,並留存相關紀錄,以反映法令規章、技術及資訊業務等最新發展現況及內外環境等因素之變迭。確保資訊安全實務作業之有效性,必要時並得委託外部專業機構辦理。
第六條
資訊安全組織、權責及分工
為有效推動資訊安全工作,透過組織分工及授權職責,成立「資訊安全推行小組」,資訊安全組織及權責分工訂定於「資訊安全推行小組組織作業要點」。
為有效推動資訊安全工作,透過組織分工及授權職責,成立「資訊安全推行小組」,資訊安全組織及權責分工訂定於「資訊安全推行小組組織作業要點」。
第七條
資訊安全事件管理
為維護業務正常運作,對資訊安全事件應建立處理機制,在發生資訊安全事件時,應立即通報本公司資訊部,採取反應措施,由資訊部依「資訊安全事件管理作業要點」辦理相關事項。
為維護業務正常運作,對資訊安全事件應建立處理機制,在發生資訊安全事件時,應立即通報本公司資訊部,採取反應措施,由資訊部依「資訊安全事件管理作業要點」辦理相關事項。
第八條
資訊安全整體執行報告
每年應將前一年度資訊安全整體執行情形,由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「內部控制制度聲明書」,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於公開資訊觀測站。
每年應將前一年度資訊安全整體執行情形,由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「內部控制制度聲明書」,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於公開資訊觀測站。
第九條
核定層級
本政策經董事會通過後施行,修正時亦同。
本政策經董事會通過後施行,修正時亦同。
民國㇐㇐㇐年八月十九日第十㇐屆董事會第十六次會議修正。
網路釣魚防範
-
何謂網路釣魚
網路釣魚(Phshing)即為網路詐騙者未經許可、以大量發送垃圾郵件為釣餌,通常以金融機構、電子商務網站的名義發送電子郵件,最終目的是竊取個人身份資料進行犯罪。
防範網路釣魚,安全提醒
使用本公司網站服務時,請由國票證券網址 https://www.ibfs.com.tw 進入。- 本公司不會主動去電詢問或寄發電子郵件要求客戶輸入帳號密碼、身份證字號等個人資料。
- 若您收到疑似本公司名義寄發之可疑郵件,請勿回覆、點擊郵件(通訊軟體、其他網站)之連結網址。如有疑問,請洽本公司客服中心02-8502-0568。
- 養成良好習慣,請勿隨意開啟或下載來路不明的檔案、軟體或程式。
- 個人電腦應安裝防毒軟體,應更新防毒軟體病毒碼及作業系統安全修補程式更新至最新版本。