資訊安全政策

本公司重視客戶、投資人的利益,因應新興科技下,公司可能遭受外來的惡意威脅與侵犯,導致公司名譽受損及營運困難,進能影響客戶、股東的權益,導入ISO27001資訊安全管理制度,制定資訊安全政策與相關規範,並公告給同仁,強化公司內部資訊安全治理及同仁的資訊安全意識。

本公司宣告資訊安全政策:

1. 資訊安全目標如下 :
1.1 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
1.2 確保本公司資訊作業管理之完整,避免未經授權之修改。
1.3 確保本公司資訊作業之持續運作。
1.4 確保本公司資訊作業均符合相關法令規定、契約要求。
2. 資訊安全控制措施如下 :
2.1 成立資訊安全管理組織,由總經理擔任召集人,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
2.2 管理階層承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
2.3 定期檢討並適時的更新資訊安全管理制度文件,並有明確的管理制度保護相關之紀錄。
2.4 定期盤點及進行資訊資產分類與衝擊性分析,及進行風險評鑑作業,鑑別可能危害資訊安全管理系統運行之風險,採取適當的措施進行處置弭平風險。
2.5 定期向員工進行資訊安全宣導,強化資訊安全意識以避免因疏失引發資訊安全事件,本公司員工皆有責任及義務保護其擁有、保管或使用之資訊資產。
2.6 單位主管於員工之工作分派上考量職能分工,職務權責適當區分,以避免資訊、產品或服務遭未經授權修改或誤用,影響客戶之權益。
2.7 對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客等,若有存取本公司資訊資產之需求時,進行必要之審核及要求簽署資訊安全相關遵守切結書。
2.8 考量業務需求、及可能影響客戶權益之事件,訂定資訊作業持續運作計畫,並定期測試演練,確保在事件發生時,能夠以最快時間回復到正常作業。
2.9 為確保本公司資訊安全目標之達成,設置資訊安全指標並定期量測,以維持資訊安全管理制度及管控程序實施之有效性。
2.10 確保管制區域與辦公區域場所之安全,以防範資訊資產遭竊取或毀損。
2.11 持續落實及強化網路通訊安全管理,以降低駭客、外部攻擊、惡意程式等事件引響公司正式營運之風險。
2.12 系統開發、修改及維護,皆遵守並符合ISO27001之控制精神,經過適當之評估、討論、分析及授權後為之,並於交付前經過測試及確認。
2.13 若有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事,依程序進行通報、影響範圍分析及確認,並執行補救措施降低損失。
2.14 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業,並維持ISO27001國際證書。
3. 本政策每年至少審查一次,並於必要時修正並公告。