オフィスオートメーションシステム、ビジネス情報システム、人事及び給与システムなどの情報テクノロジーは、国営台湾鉄路株式会社(以下当社とする)のビジネスシステムにおいて重要な役割を担っています。情報資源は当社の重要な資産になるため、適切に保護されなければいけません。

当社の業務の正常運行を確実にするため、全ての情報システムの無停止運行は必要不可欠です。また、インターネットの普及により、当社の情報システムを外部の情報システムに連結しなければならず、その結果、新たな管理課題、挑戦、責任が浮上しました。当社の処理業務システム内の情報、又はオフィス用ソフトパッケージによって発生する情報に、潜在リスクが存在する可能性が大いにあります。よって当社の業務に悪影響を及ぼす天災又は人為的不正を避けるため、適切な管理が必要となります。その為、当社の情報セキュリティ機制の構築と施行は急務なのです。

情報セキュリティは、様々な情報を確実に連続使用できるようにすることです。そして、情報と情報システムの保護は、情報セキュリティ制御システム構築の原動力となっています。有効なセキュリティ制御機制の構築には、当社の上級職者や全職員のサポート、及び各種所属業務規範の制定と遵守が必要です。情報セキュリティ政策には下記の重要な項目を含みます：

• 1. 情報セキュリティ管理システムの発展、整備及び操作方法の制定。
• 2. 情報セキュリティ目標を制定。
• 3. 情報セキュリティの組織及び権利責任を制定。
• 4. 情報セキュリティ活動の原則を制定。

関連人員の情報セキュリティ教育を実施し、情報資産の機密性、完全性と可用性、及びその保護方法への理解を深めさせ、政策の施行に効果的に作用することが目的です。当政策内容には、目的、目標、声明、適用範囲、組織と責任、実施方法、及び実施原則などが含まれます。

目的

情報セキュリティ管理の目的は、内外からの故意、又は偶発性による脅威から情報を保護することにあります。当社は人々の暮らしと経済の発展に大きく関わりのある公共運輸事業を営んでいます。情報の完全性と可用性を保護するためには、当政策の実施は非常に重要なことなのです。 当社の情報セキュリティ政策の目的は下記の通りです：

• 1. 当社が安全な操作環境を提供しているという決意と約束を宣言する。
• 2. 電子化政府計画の実行、及び情報システムのアプリケーションプログラムの発展における当社の指針となるよう務める。
• 3. 情報セキュリティ活動の基本となる評価方法を識別し、リソースが情報セキュリティ活動に対し、効果的に運用されることを確実にする。
• 4. 情報システムとネットワーク設計の必要とされる基礎構造、及びそれに関連する購入仕様書を提供する。
• 5. 当社の情報セキュリティマニュアルの土台となるよう務める。
• 6. 当社の情報システム使用の行為規範は、関連人員が行為規範を知らないことを口実に、当社の定める規範に反する行為をすることを防ぐため、全職員に有効な情報セキュリティ教育訓練を受けて理解させる。
• 7. 当社の内部監査部門と人員による監査の土台となるよう務める。
• 8. 法律規約と契約上の要求に取り組む為の土台となるよう務める。

声明

情報は当社の価値ある資産の一部であり、永続経営とは情報の完全性と可用性に依存することです。情報セキュリティ規範を遵守することは、偶発的、又は故意に関わらず、無許可での使用、修正、公開、又は破壊から情報を保護します。
情報資産の保護は当社全職員の基本的な責任です：

• 1. 情報資産が当社管理者の認可した目的に限られて運用されていることを確実にする。
• 2. 当社の情報セキュリティ管理制度のセキュリティ規範及び工程に遵守する。
• 3. 全職員は自己の責任によって情報資産を保護する。

要するに、 "情報セキュリティ、個々に責任有"。