國營臺灣鐵路股份有限公司(以下簡稱本公司)在目前的業務運作環境中,舉凡辦公室自動化、業務資訊系統化、人事薪工系統等業務系統,資訊科技扮演非常重要的角色,由此可見資訊資源是本公司重要的資產需要加以保護。
為確保本公司業務正常運作,所有資訊系統能持續運作而不中斷是絕對必要的。另由於網際網路的便利及普及,使得本公司的資訊環境必須與外界接軌,因而帶來新的管理課題、挑戰與責任,諸如資訊在公司內處理業務系統、或是由辦公室套裝軟體所產生的資訊,均有可能發生不同層次的潛在威脅,需要加以適當的管理,以免因天災或人為的不當,殃及本公司業務的運作。鑒此,本公司資訊安全機制的建置與施行,實屬當務之急。
資訊安全著重於確保資訊能持續使用無礙,而保護資訊與資訊系統是建置資訊安控系統的原動力;而一有效的安控機制需要來自公司內上級長官的承諾支持、全體同仁的持續參與、以及各種所屬業務規範的訂定與遵循,其中資訊安全政策的訂定與施行是首要之務,其要項如下:
藉此政策教育相關人員,使之瞭解資訊資產的機密性、完整性與可用性,及其保護的方法,期能有效地配合政策之施行。此政策內容包括目的、目標、聲明、適用範圍、任務編組、實施方式與實施原則等。
資訊安全管理的目的在於保護資訊免受內部或外部,蓄意或意外之威脅。本公司經營大眾運輸事業,攸關民生與經濟發展,為維護資訊之完整性與可用性,故實施本政策是非常重要的。本公司資訊安全政策目的分述如下:
資訊是本公司有價值的資產,永續經營是依賴資訊的完整性和持續的可用性,遵循資訊安全的規範可保護資訊免於未經授權的使用、修改、公開或破壞,無論這些破壞來自意外的或蓄意的。 保護這些資產是本公司全體同仁的基本責任:
以一簡單、容易記憶與符合資訊安全管理目標為原則,訂定本公司的資訊安全政策聲明為:”資訊安全,人人有責”