資訊安全政策

1. 本公司資訊安全目標為確保重要及核心系統之機密性(Confidentiality)、完整性 (Integrity)及可用性(Availability)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

2. 為達成本公司之任務目標及最高管理階層對資訊安全之期許與要求,確保本公司資訊資產之安全,資訊安全政策訂為:
2.1. 確保本公司相關業務資訊之機密性, 防止本公司機密資訊及個人資料外洩與遺失。

2.2. 確保本公司相關業務資訊之完整性與可用性,以正確執行本公司作業與各項業務。


3. 為確保資訊安全管理系統能有效運作,本公司已成立資訊安全委員會,統籌資訊安全管理制度之規劃及推動事宜,其組織架構記載於本公司「資訊安全手冊」與「資訊安全組織及管理審查作業程序書」。

4. 人力資源安全管制:為降低人為因素影響本公司資訊安全,本公司實施適當之資訊安全教育、訓練及宣導,以提升人員對資訊安全之認知。

5. 資產管理:為保護本公司資訊資產安全,本公司依照規範建立資訊資產清冊,並訂定資訊資產分類、分級及管控措施作業原則。

6. 存取控制:
6.1. 為確保資訊處理設備之授權存取,訂定使用者密碼、註冊、變更、刪除及定期審查機制,並訂定辦公桌及電腦螢幕淨空措施。

6.2. 為維護網路安全,訂定網路服務機制,區隔內部網路與聯外方式,管控遠距工作及行動裝置之使用。


7. 密碼管制:訂定適當與有效使用密碼政策,保護資訊的機密性、鑑別性及完整性。

8. 實體及環境安全管制:為確保機房、辦公處所與相關設備之安全,本公司訂定電腦機房門禁、設備檢查與管理原則,並訂定辦公室一般資訊設備使用、管理及報廢原則。

9. 運作及通訊安全:
9.1. 為確保正確、安全地操作資訊設備,訂定資訊正確使用之規範,防範機密資訊外洩,並建立防範惡意程式碼及可移動程式碼之機制。

9.2. 為確保資訊資產完整性及可用性,訂定資訊處理設施備份作業及採用外部資訊處理設施服務管控原則。

9.3. 為維護網路安全,訂定網路安全控制機制及監督系統使用狀況軌跡保護原則。


10. 系統獲取、開發及維護:為確保應用系統開發管理、測試、驗收、上線、維護及委外管理作業之安全,本公司訂有標準管制程序。

11. 供應者關係:訂定供應者關係與管理,以確保供應者存取、處理及管理本公司資訊與資訊處理設施之安全。

12. 資訊安全事件管理:為降低資訊安全事件造成之損害,本公司訂有資訊安全通報及處理程序,並加以記錄。

13. 營運持續管理:為確保本公司業務持續運作,本公司訂有營運持續管理之資訊安全層面控制原則,建立業務持續運作管理流程及架構,並撰寫及實施業務持續運作計畫。

14. 遵循性:為確保資訊安全管理系統之施行符合相關法令、安全政策及最新技術趨勢,本公司訂有遵循性確認原則。

15. 員工違反資訊安全相關規定,其應負之資訊安全責任依紀律程序處理。

16. 本政策至少每年經本公司資訊安全組織最高主管審閱一次,以符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

17. 本政策未盡事宜,悉依有關法令及本公司相關規定辦理。

18. 本政策經本公司資安長同意後實施;修正時亦同。