資訊安全政策

強化資訊安全管理,確保本公司所屬之資訊資產的機密性、完整性及可用性,以提供資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

資訊安全目標

  1. 確保本公司資訊作業均符合相關法令規定要求。
  2. 確保全體人員了解其資訊安全責任,保護資訊資產,減少發生資訊安全事件之風險。
  3. 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
  4. 確保本公司資訊作業管理之完整性與資料正確性,避免未經授權之修改。
  5. 確保本公司資訊作業之持續運作,符合營運服務水準要求。

為落實資訊安全政策與達成資訊安全目標,採取下列控制措施:

  1. 成立資訊安全組織,督導資訊安全管理系統之運作,鑑別資訊安全管理相關之內、外部議題及各關注方對本公司之資訊安全要求與期望。
  2. 管理階層承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
  3. 資訊安全管理系統相關程序文件適時更新,紀錄之保護有明確管理機制。
  4. 定期維護資訊資產與執行風險評鑑。
  5. 本公司全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。
  6. 工作分派考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。
  7. 對於與本公司有業務往來之廠商及其員工、臨時雇員、有使用或有存取本公司資訊資產之需求時,進行必要之審核及完成資訊安全相關教育訓練,並遵循本公司相關規範。該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。
  8. 依業務需求訂定資訊作業持續運作計畫,並定期測試演練。
  9. 定期檢測資訊安全指標,以維持資訊安全管理系統及管控程序實施之有效性。
  10. 確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。
  11. 落實通訊安全管理,防範資訊資產傳送時遭破壞、竄改、竊取之風險。
  12. 資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。
  13. 定期舉辦資訊安全教育訓練加強員工資訊安全意識。
  14. 本公司全體人員應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之情事,並依程序進行通報。
  15. 遵循內外部相關法令規定,並定期更新法令法規清單,建立應有之管控程序,定期執行資訊安全查核作業。

任何機關組織因業務需求取得本公司機敏性資訊或個人資料時,應負起資料保密責任及妥善運用,並遵守國家相關之法令及本公司之相關資訊安全規定。