一、目的:
1.饗樂餐飲實業股份有限公司(以下簡稱本公司)為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,爰衡酌本公司之業務需求,訂定本政策。
二、適用範圍:
1.本公司全體人員、直營及加盟門店員工、與本公司有業務往來之廠商及其員工、臨時雇員、訪客等,皆應遵守本政策。
三、權責:
1. 無。
四、定義:
1.資訊安全:係透過安全管制措施,保護資產免於受到危害,以達到機密性、完整性、可用性及適法性的目標。
2.機密性:確保被授權之人員方可合理的使用資訊,以防止資訊被不當揭露。
3.完整性:確保資訊不受未經授權的竄改與資訊處理方法及結果的正確性。
4.可用性:確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。
5.適法性:確保本公司資訊作業均符合相關法令規定要求。
五、作業內容:
1.資訊安全管理目標:
1.1 本公司之資訊安全目標如下:
1.1.1 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
1.1.2 確保本公司資訊作業管理之完整,避免未經授權之修改。
1.1.3 確保本公司資訊作業之持續運作。
1.1.4 確保本公司資訊作業均符合相關法令規定要求。
1.1.5 前述資訊安全目標需每年至少審查一次,以符合相關法令規定及資訊業務最新發展現況,並於必要時修正之。
1.2 本公司之資訊安全控制措施如下:
1.2.1 成立資訊安全管理組織,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
1.2.2 管理階層應承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
1.2.3 資訊安全管理制度文件應適時更新,紀錄之保護應有明確管理機制。
1.2.4 定期進行資訊資產分類與風險評鑑。
1.2.5 本公司全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。
1.2.6 工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。
1.2.7 對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客有存取本公司資訊資產之需求時,應進行必要之審核及參與資訊安全教育訓練。該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。
1.2.8 依業務需求訂定資訊作業持續運作計畫,並定期測試演練。
1.2.9 落實通訊安全管理。
1.2.10 確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。
1.2.11 定期檢測資訊安全指標,以維持資訊安全管理制度及管控程序實施有效性。
1.2.12 資訊作業或程序開發、修改及建置,皆須符合並遵循資訊安全目標之規定。
1.2.13 本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事,並依程序進行通報。
1.2.14 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。
1.2.15 應採用行動裝置安全措施,以管理使用行動裝置所導致之風險。
1.2.16 應於資訊作業專案管理中納入資訊安全相關議題。
六、實施與修訂:
1. 本政策經執行長核准後公告實施,修正時亦同。