1前言
CAFLER 的安全政策體現了在安全方面的理念、原則、責任與目標,其成果能夠保障公司擁有所需的行動自由。
CAFLER 整體安全的目標是保護在公司工作的人員、其通訊的機密性以及其資訊的完整性。同時也守護構成公司資產的其他項目,例如設施或各類內容。
整體安全涵蓋實體安全與邏輯(技術)安全的傳統概念,以在任何不利情況下維持業務的連續性。
提升公司員工的「安全文化」將帶來明顯效益,能夠強化系統與程序的安全,並將潛在惡意行為的風險降至最低。
至關重要的是,所有與安全事務相關的資訊都應透過適當的管道,流向公司的決策機構。
2原則
整合性
全面安全是一項與業務整合並一致的流程,全公司共同參與其中。
效益性
安全以業務準則為依歸,並考量支出與投資之間的關係。其準則由中央統一制定,善用任何既有的綜效。此種管理方式能夠全面降低支出,並提升投入於安全之努力的成效。
連續性
安全必須貫穿其整個工作週期:防護、預防、偵測、回應與復原。
適切性
所採用的手段必須因應業務環境。在眾多因素中,對業務及組織安全水準影響最為顯著者,包括與其他企業的競爭、社會、政治與經濟層面的動盪,以及業餘或專業的「駭客」行為。
3責任
管理董事會
安全的最終責任屬於管理董事會,其為直接負責管理其發展與實施的單位。
管理團隊
管理團隊將分析可能影響業務正常運作的安全風險與弱點,並提出適當的規範、手段與措施以將其降至最低。
全體人員
組織內全體人員均須承擔維護其所負責資產之安全的責任,並遵守管理團隊所實施的安全規範。
4目標
- 達成並維持所需的安全水準,以充分保障業務的連續性,即使在不利情況下亦然。
- 加強安全在實體與邏輯層面的整合與相互支援。
- 依循強化企業社會責任的準則,協助管理其他安全領域,包括勞動與環境層面。
- 建立由組織決策機構所定義的企業安全架構,並在所有相關方之間建立適當的溝通管道。
- 遵守官方安全法規及其他要求。
- 制定並實施安全培訓與宣導計畫,以提升人員的培訓。
- 明確承諾持續改善。
- 將公司各部門整合至一套安全管理系統中,在共同準則下善用綜效,並在資源與行動上達成一致性。
- CAFLER 全體人員將認識並運用依本安全政策所制定的規範。