資訊安全政策

資訊安全政策 確保資訊資產之機密性、完整性及可用性，並避免遭受內、外部蓄意或意外之威脅

長榮航空資訊安全政策

目的

• 長榮航空（以下簡稱本公司）為確保資訊資產之機密性、完整性及可用性，並避免遭受內、外部蓄意或意外之威脅，爰衡酌本公司之業務需求，訂定本政策。

適用對象

本公司全體人員、與本公司有業務往來之廠商、旅遊同業及其員工、臨時雇員、訪客等，皆應遵守本政策及相關管理機制之規範與程序。

本公司員工若違反資訊安全相關規定，應依公司管理規則予以議處。

範圍

資訊資產包括硬體、軟體、資料、文件、人員等，在符合個人資料保護法、歐盟一般資料保護規則(GDPR)與相關法令與成本效益考量下，使用適切的保護措施，避免因人為疏失、蓄意或天然災害等因素，遭致不當使用、洩漏、竄改、破壞等情事，降低其可能帶來之風險及危害程度。故資訊安全管理範疇包括：:

• 1.資訊安全組織。
• 2.人員安全與管理。
• 3.資產分類與控管。
• 4.認知宣導及教育訓練。
• 5.風險評鑑管理。
• 6.事故之預防、通報及應變機制。
• 7.個人資料蒐集、處理及利用之管理程序。
• 8.實體與環境安全管理。
• 9.通訊與操作管理。
• 10.存取控制。
• 11.系統開發與維護。
• 12.使用紀錄、軌跡資料及證據保存。
• 13.技術脆弱性管理。
• 14.營運持續管理。
• 15.資訊安全監督與稽核機制。
• 16. 遵循法規及其他資訊安全的要求。

資訊安全目標

本公司之資訊安全目標如下：

• 1.確保本公司資訊資產之機密性，落實資料存取控制，資訊需經授權人員方可存取。
• 2.確保本公司資訊作業管理之完整，避免未經授權之修改。
• 3. 確保本公司資訊作業之持續運作。

資訊安全控制措施

本公司之資訊安全控制措施如下：

• 1.成立資訊安全管理組織，督導資訊安全管理制度之運作，鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
• 2.管理階層應承諾維護資訊安全，持續改善資訊安全品質，減少資訊安全事故之發生，以保障客戶之權益。
• 3.資訊安全管理制度文件應適時更新，紀錄之保護應有明確管理機制。
• 4.定期進行資訊資產分類與風險評鑑。
• 5.本公司全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。
• 6.工作分派應考量職能分工，職務責任範圍應予區分，以避免資訊或服務遭未經授權修改或誤用。
• 7.對於與本公司有業務往來之廠商、旅遊同業及其員工、臨時雇員、訪客有存取本公司資訊資產之需求時，應進行必要之審核及參與資訊安全教育訓練。該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。
• 8.依業務需求訂定資訊作業持續運作計畫，並定期測試演練。
• 9.定期檢測資訊安全指標，以維持資訊安全管理制度及管控程序實施之有效性。
• 10.確保工作區域場所之安全，以防範資訊資產遭竊取或毀損。
• 11.落實通訊安全管理。
• 12.資訊作業或程序之開發、修改及建置，皆須符合並遵循資訊安全目標之規定。
• 13.本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事，並依程序進行通報。
• 14.遵循內外部相關法令規定，建立應有之管控程序，定期執行資訊安全查核作業。
• 15.應採用行動裝置安全措施，以管理使用行動裝置所導致之風險。
• 16.應於資訊作業專案管理中納入資訊安全相關議題。

年度審查

本政策每年至少審查一次，以符合相關法令規定及資訊業務最新發展現況，並於必要時修正之。

資訊安全管理系統

本公司藉由ISO 27001國際標準建構資訊安全管理系統，並以核心營運、飛航安全及隱私保護等關鍵系統為驗證標的，已取得英國標準協會頒發之證書。