財團法人中小企業信用保證基金 (以下簡稱本基金)秉持維護交易作業環境之資訊安全理念,對於本基金資訊系統暨所儲存、處理、傳遞或揭露之資料作周全保護與防範,以杜絕毀損、失竊、洩漏、竄改、濫用與侵權等事故,特訂定本資訊安全政策如下:
確保本基金資訊安全,防範資安攻擊事件。
精進保證業務運作效能,達成永續發展目標。
一、確實遵守「個人資料保護法」、「著作權法」、「電子簽章法」等資訊安全相關法令。
二、為能有效確保本部之資訊安全,應針對各資訊安全領域訂定資訊安全規範。
三、遵循本部資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
四、對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統及重要業務的持續運作。
五、進行資訊處理時,若含有個人資料,應依據「個人資料保護法」及相關規定審慎處理,不私自蒐集或洩漏業務資訊,非公務用途嚴禁調閱使用。
六、本部主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
七、依角色及職能為基礎,針對不同層級人員,依據「行政院國家資通安全會報」之規定或實際需要辦理資訊安全教育訓練及宣導,促使全體人員瞭解資訊安全的重要性,各種可能的安全風險,以提高資訊安全意識並熟悉工作中之資訊安全職責,促其遵守資訊安全規定。
八、應使用具合法版權軟體,避免上網下載來路不明之軟體。
九、委外廠商應遵循本政策以及相關程序之規定,不得未經授權使用或濫用本部之各類資訊資產,若涉及限制使用等級以上業務,應簽署保密切結書。
十、每年至少召開一次管理審查會議,審核本部資訊安全業務執行狀況,建立管理指標量測方式與評估管理指標量測結果。
十一、應建立資訊資產風險評鑑機制,每年至少進行一次風險評鑑,並由本部經理決定可接受風險值。
十二、每年應至少進行一次業務永續經營計畫及資安事件通報程序之演練、測試、檢討。
十三、違反本政策與本基金之資訊安全相關規範,依相關法規或本基金懲戒規定辦理。
本政策之頒布,明確宣示維護資訊安全的重要性,本基金全體人員、與本部有業務往來之委外單位及其員工或臨時雇員等應確實瞭解本政策,以維護本部所有業務之資訊安全與永續經營。
本政策經本基金組織代表核可後施行,修正時亦同。