資訊安全



  1. 資訊安全目的
    為增進本公司資通訊作業安全,防止資通訊系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。遵循相關法令、法規及客戶要求,以順利推展本公司各項業務,進而獲得客戶之信賴、提升競爭優勢,確保公司營運永續運作。
  2. 資訊安全目標
    1. 2.1確保本公司業務資訊之機密性、完整性及可用性,公司營運永續運作。
    2. 2.2符合或高於資安相關法令、法規及客戶資安要求與檢測,達成業務持續之安全運作。
    3. 2.3建立並持續精進資通訊安全管理系統,以確保本公司資通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險。
  3. 資訊安全適用範圍
    本政策適用於本公司同仁、接觸本公司業務資訊或提供服務之廠商及第三方人員。
  4. 資訊安全組織
    本公司於董事會層級設置功能性委員會-「資通安全委員會」,由全體成員推舉獨立董事一人,擔任召集人及會議主席,每年至少召開二次會議。其下設置經營管理層級跨部門任務編組-「資通安全管理小組」,由副總經理擔任召集人,負責全公司資通安全政策規畫與執行,並擬訂公司資通安全管理、危機通報及緊急應變處理相關辦法。
  5. 資訊安全管理原則
    資通訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
    1. 5.1 資訊安全政策
    2. 5.2 資訊安全之組織
    3. 5.3 人力資源安全
    4. 5.4 資產管理
    5. 5.5 存取控制
    6. 5.6 密碼學
    7. 5.7 實體與環境安全
    8. 5.8 運作安全
    9. 5.9 通訊安全
    10. 5.10 系統獲取、開發及維護
    11. 5.11 供應者關係
    12. 5.12 資訊安全事故管理
    13. 5.13 營運持續管理之資訊安全層面
    14. 5.14 遵循性
  6. 資訊安全責任
    1. 6.1「資通安全委員會」應審議本政策及檢視相關管理制度,每年向董事會做專案成果報告。
    2. 6.2「資通安全管理小組」應適時檢討修訂本政策及具體管理方案,以確保該政策符合目前需求。
    3. 6.3資通安全管理單位應透過適當的標準和程序以實施本政策,並培養所有人員資通安全風險意識。
    4. 6.4各部門主管應主動宣導並要求其部屬瞭解及遵守本安全政策與所有資通安全相關規定。
    5. 6.5公司所有人員、供應商或相關業務資訊接觸之第三方人員均須遵循本政策之要求。
    6. 6.6公司所有人員有責任報告任何可能發生的資通安全事件或資通安全弱點,並由「資通安全管理小組」責成防制與改善。
    7. 6.7任何蓄意違反資通安全的行為將受到相關規範或法律行動的責任承擔。
    8. 6.8相關的資通安全措施或規範應符合現行法令的要求。
  7. 資訊安全評估與審查
    本資通安全政策由總經理核定,每半年評估一次,或於組織有重大變更時重新評估。並依評估結果,視需要予以適當修訂。
  8. 資訊安全公告實施與宣達
  9. 本政策經董事會層級之「資通安全委員會」審議通過,公告施行日期,並揭露於公司內網及官網或年報,修正時亦同。