資訊安全政策
為達成維護資訊安全之目的,本公司訂定相關資訊安全控制措施如下:
- 建立跨部門之資訊安全管理組織,所有資訊安全責任應受定義及分配,職務與責任應進行區隔,並制訂 、推動、實施及評估改進資訊安全管理制度,確保對資訊資產之控管與業務持續運作之資訊環境。並與各相關單位(如:主管機關、客戶、員工、供應商、資安專家……等關注方)保持適當之溝通管道。
- 辦理資訊安全及個人資料保護管理教育訓練及宣導,強化員工及委外廠商資訊安全管理之意識與對相關責任之認知。
- 建立資訊資產清冊,明確指定保管者,並識別資訊資產價值、威脅及弱點,定義適當的保護責任。於合約、協定終止時,確保所有資產使用者均已歸還或依要求處置資產。
- 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
- 限制資訊與其處理設備、系統及應用程式的使用,以防未經授權的存取。
- 建立密碼控制措施,維持適當且有效的密碼,以保護數位資訊之機密性、鑑別性及完整性。
- 對開發、測試及營運環境進行區隔,以降低營運系統受未經授權存取或變更之風險;建立對惡意軟體之偵測、預防、復原等控制措施,確保資訊資產不受惡意軟體的破壞。依循備份程序,定期進行各項資訊的備份與測試以免資訊遺失;監控、調配各項資源的使用與系統技術弱點資訊,採取適當改善措施以降低風險。
- 供應商存取、處理或提供本公司資訊處理基礎設施相關服務,應符合資訊安全要求,並定期檢視、審查供應商交付的服務報告;若有服務變更情事,均依專案管理程序辦理,並考量所涉及之時程、預算重新評估風險,以維護本公司權益。
- 明訂管理責任與程序以確保對資訊安全事故做出迅速、有效的回應及通報,並識別、收集、取得及保存可用來作為證據的資訊,分析與解決以降低未來事故發生的可能性或影響。
- 定期驗證並實作資訊服務營運持續程序,以確保其有效性。
- 實施資訊安全管理內部稽核制度,確保資訊安全管理及個人資料保護管理之落實執行。
- 依適用的法律、規定、契約及或專業責任;以及個人及其他主要利害關係人的利益。適時改進資訊安全管理。