資訊安全政策
確保資訊資產之機密性、完整性及可用性,並避免遭受內、外部蓄意或意外之威脅。
長榮航空資訊安全政策
最後更新日:2025年1月2日
目的
長榮航空(以下簡稱本公司)為確保資訊資產之機密性、完整性及可用性,並避免遭受內、外部蓄意或意外之威脅,爰衡酌本公司之業務需求,訂定本政策。
範圍
本政策適用於本公司之資訊處理相關作業流程與環境,包含組織、人員、實體、技術等各項控制範疇。
適用對象
- 本公司全體人員、與本公司有業務往來之廠商及其員工、臨時雇員等,皆應遵守本政策及相關管理機制之規範與程序。
- 上開人員若違反資訊安全相關規定,應依公司管理規則議處或相關合約協議辦理。
資訊安全目標
- 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
- 確保本公司資訊作業管理之完整,避免未經授權之修改。
- 確保本公司資訊作業之持續運作。
- 確保本公司同仁具有資訊安全認知。
- 確保本公司遵循利害相關團體對資訊安全相關要求事項。
資訊安全控制措施
- 應進行資訊安全組織相關控管措施,以推動及維持資訊安全管理體系各類管理、執行與查核等工作之進行,確保所有資訊與資訊資產獲得適當保護,建立、記載、實施及維護資訊安全管理體系,並持續改進系統的有效性。
- 應進行人員相關控管措施,確保資訊安全相關角色之責任及權限已進行指派與傳達,並確認人員擁有工作相應之認知與能力,以及了解工作相應之責任與義務,且職務責任範圍應予區分。
- 應進行實體相關控管措施,確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。
- 應進行技術相關控管措施,以管理資訊安全弱點所導致之風險。
- 管理階層應承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
- 應於資訊作業專案管理中納入資訊安全相關議題。
- 依本資訊安全政策之範圍,訂定相關資訊安全管理要點等規範,以為資訊安全管理之依據。
年度審查
本政策每年至少審查一次,以符合相關法令規定及資訊業務最新發展現況,並於必要時修正之。
資訊安全管理系統
本公司藉由ISO 27001國際標準建構資訊安全管理系統,並以核心營運、飛航安全及隱私保護等關鍵系統為驗證標的,已取得英國標準協會頒發之證書。