資訊安全管理

目的

為執行資訊安全管理，強化本公司主機、網路設備的通訊安全，降低因人為疏失、蓄意或天然災害導致資產遭竊、不當使用、洩露、竄改或破壞等風險，確保資資資產的機密性、完整性及可用性，故訂定本政策，以作為本公司實施各項資訊安全措施之依據。

適用範圍

本公司員工及約聘雇人員、顧問、合作業務往來廠商與客户等。

資訊安全目標

為維護資訊資產及資訊作業安全之機密性、完整性及可用性，並保障使用者資料隱私，藉由全體同仁共同努力來達成以下目標：

• 持續強化改善整體資訊安全管理制度能力。
• 適時適當提昇資訊安全管理與技術專業能力及其相關工具。
• 保護本公司業務活動資訊，避免未經授權的存取、修改、確保其正確完整。
• 符合相關法令或法規之要求，達成業務持續運作之目標。

管理單位

本公司資訊部門為資訊安全管理部門，負責制定相關制度規範及處理相關資訊安全議題，並依組織運作制度向上級主管報告。

資訊安全要求事項

• 本公司員工及約聘人員、顧問、合作業務往來廠商與客戶，凡使用公司資訊以提供資訊服務或執行專案工作等，均有責任及義務保護其所取得或使用之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。
• 本公司各單位人員，對所負責業務而持有之資訊資產應負保管責任，確保重要資訊資產之機密性、完整性及可用性，防止其遭受意外或蓄意破壞、擅改、不當揭露或損失(包含實體或電子方式竊取)，以符合公司之營運利益並遵循相關法律及法規之要求。
• 維護保障資訊安全為每位人員之義務，當認知有違資訊安全之情事，應予即時防制並進行通報。
• 各項管理、行政及技術作業之發展、制訂及變更，應考量資訊安全之需求。
• 各項作業中獲知之資訊，其資訊保護及保密責任不因工作變更而滅失。
• 各項蒐集、處理與利用個人資料之業務，須符合個人資料保護法相關法令的要求。
• 各項資訊資產之取存運用，包括電腦、網路設施及資訊系統等軟硬體之安裝、建置、發展、使用及維護，應參照相關的作業程序並獲得授權後方可執行。
• 應定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升公司資訊安全水準及資訊安全管理能力。
• 應建立防病毒及防駭機制，保護資訊作業及相關資產，防止人為意圖不當或不法使用，遏止駭客、病毒等入侵及破壞之行為。
• 為維護網路安全，防範電腦病毒之侵襲，應購買合法防毒軟體或關閉不必要之網路連線及服務，並定時更新相關病毒碼及掃毒引擎。
• 對資訊安全事件應建立緊急通報機制，在發生資訊安全事件時，應依處理程序，立即向管理階層通報，並視業務需求訂定業務持續運作計畫，定期測試演練。
• 資訊安全措施，應符合法律之規範與本政策要求。

審查與宣導

• 資訊安全政策每年至少評估一次，或於發生重大事件變動時重新評估，以期符合相關法令、時勢變化、營運狀態最新發展現況。
• 本政策以書面電子郵件、刊登於網站或其他方式公告周知。

政策實施

本資訊安全政策經副總經理以上主管核准後實施，修正時亦同。