第一條、目的
為保護京城商業銀行(以下簡稱本行)資訊資產之機密性、完整性與可用性,避免遭受不當使用、洩漏、竄改或破壞等風險,確保資訊蒐集、處理、傳送、儲存及流通之安全,特訂定資訊安全政策(以下簡稱本政策),以資遵循。
第二條、適用範圍
本政策適用於本行全體員工、委外服務廠商及訪客。
第三條、資訊安全管理範疇
本行資訊安全管理範疇涵蓋十四項領域:
- 資訊安全政策之訂定及審查。
- 資訊安全組織。
- 人力資源安全管理及教育訓練。
- 資訊資產之分類及管理。
- 存取控制安全。
- 加密控制措施。
- 實體及環境安全。
- 作業安全管理。
- 通訊安全管理。
- 系統開發及維護之安全。
- 供應商安全管理。
- 資通安全事件管理。
- 營運持續運作管理。
- 相關法規、法令及政策之遵循性。
第四條、權責及分工
- 應成立資訊安全組織,統籌資訊安全事項推動,並至少每年定期召開管理審查會議乙次,或視需要不定期召開。
- 資訊安全由風險管理部負責推動、資訊室負責執行,並由稽核室負責查核推動執行情形。
- 每年由風險管理部於會計年度終了後三個月內,提報前一年度本行資訊安全整體執行情形於董事會核備。
第五條、責任
- 管理階層應積極參與及支持資訊安全管理制度,並提供適當之資源。
- 全體員工、委外服務廠商及訪客,皆應遵守本政策,並有責任透過適當通報機制,通報資通安全事件或弱點。
- 任何危及資訊安全之行為,依本行之相關規定進行議處,必要時得視情節輕重追究其民事及刑事責任。
第六條、管理指標
為評量資訊安全管理目標達成情形,本行應訂定相關管理指標,並監控、評估及改善。
第七條、審查
- 本政策應由風險管理部每年至少檢視一次,或於發生重大變動時重新檢視,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。
- 應識別本行內外部利害關係人及其回饋事項,並列入管理審查會議之討論議題。
第八條、未盡事宜之處理
本政策若有未盡事宜,悉依主管機關之相關法規及本行之規定辦理。
第九條、核定及修正層級
本政策經董事會核定後施行;修訂時授權董事長核定。