1.目的
台灣運動彩券股份有限公司(以下簡稱本公司)依ISO/IEC 27001並參酌WLA-SCS之資訊安全相關要求,訂定符合本公司資訊安全管理目標之資訊安全管理系統,規劃與建置資訊安全整體架構,以確保本公司資訊資產之機密性、完整性、可用性、隱私性及適法性。
2.範圍
與運動彩券發行有關之各項業務。
3.組織全景
3.1 瞭解組織及其全景
辨識內部組織(如財務狀況、營運模式改變、人才流失等)與外部環境(如法律變更、能源短缺、疾病等)足以影響營運的重要議題,並擬定因應策略。
3.2 瞭解關注方之需要及期望
關注利害關係人(如主管機關、消費者、經銷商、廠商、內部員工、股東等),對於資訊安全之要求事項。
3.3 資訊安全管理系統
資訊安全管理系統涵蓋14項管理事項,包括:1.安全政策、2.資訊安全之組織、3.人力資源安全、4.資產管理、5.存取控制、6.密碼學、7.實體及環境安全、8.運作安全、9.通訊安全、10資訊系統獲取、開發及維護、11.供應商關係管理、12.資訊安全事故管理、13.有關於資訊安全方面的營運持續管理以及14.遵循性。
4.規劃
4.1 因應風險及機會之行動
依據3.1所提及之議題及3.2所提及的要求事項,決定需因應風險及機會之行動。
4.2 依資訊安全目標與其達成之規劃
4.2.1 量化型目標
(1) 弱點掃瞄作業:全部核心資通系統、使用者電腦、伺服器及網路設備每年辦理1次。
(2) 滲透測試:全部核心資通系統每2年辦理1次。
(3) 營運持續演練:全部核心資通系統每2年辦理1次。
(4) 電子郵件社交工程演練:每年辦理2次,郵件開啟率及附件點閱率分別以低於 10%及6%為目標。
(5) 彩券交易核心系統可用性達99.9%。
4.2.2 質化型目標
(1) 適時因應法令與技術之變動,調整運動彩券發行業務之資通安全維護作業重點,確保資訊資產均受適當之保護,以避免資通系統或資訊資產遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀、作業疏忽或其他侵害,確保其機密性、完整性、可用性、隱私性、遵法性。
(2) 提升人員資安防護意識、有效偵測與預防外部攻擊。
(3) 確保所有資通安全事件或可疑之安全弱點,皆依適當通報程序反映,並予以適當調查及處理。
5.運作
5.1 運作之規劃及控制
5.1.1 為落實4.1及4.2之規劃內容,應訂定相關文件或計畫並含控制措施,執行結果留存相關紀錄,以檢視其成效。
5.1.2 對於非預期變更產生的風險,應採取行動以減輕可能發生的負面影響。
5.1.3 對於委外作業應有相關規範,以確保服務品質受控制。
5.2 資訊安全風險評鑑
應訂定每年或於當提議或發生重大變更時進行資訊安全風險評鑑之流程,並保留相關紀錄,並根據風險評鑑與風險管理程序的結果,產出資訊安全管理系統適用性聲明。
5.3 資訊安全風險處理
應訂定風險處理之相關作業流程,以利於風險事件發生時能及時因應,以減輕可能發生的負面影響。
6.績效評估
6.1 監督、量測、分析及評估
應就資訊安全管理相關作業落實情形進行監督、量測、分析及評估,並保留紀錄。
6.2 內部稽核作業
應訂定資訊安全管理系統(ISMS)相關作業之內部稽核相關流程,以查核各單位遵循作業規範程度,並評估內部控制制度是否有效運作。
6.3 管理審查
定期審查資通安全政策及目標之實施情形、資通安全人力及資源之配置之實施情形、資通安全防護及控制措施之實施情形、 內外部稽核結果以及不符合項目及矯正措施。