資訊安全



  1. 1.資訊安全目的
    1. 為增進本公司資通訊作業安全,防止資通訊系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。遵循相關法令、法規及客戶要求,以順利推展本公司各項業務,進而獲得客戶之信賴、提升競爭優勢,確保公司營運永續運作。
  2. 2.資訊安全目標
    1. 2.1 確保本公司業務資訊之機密性、完整性及可用性,公司營運永續運作。
    2. 2.2 符合或高於資安相關法令、法規及客戶資安要求與檢測,達成業務持續之安全運作。
    3. 2.3 建立並持續精進資通訊安全管理系統,以確保本公司資通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險。
  3. 3.資訊安全適用範圍
    1. 本政策適用於本公司同仁、接觸本公司業務資訊或提供服務之廠商及第三方人員。
  4. 4.資訊安全組織
    1. 本公司於董事會層級設置功能性委員會-「資通安全委員會」,由全體成員推舉獨立董事一人,擔任召集人及會議主席,每年至少召開二次會議。其下設置經營管理層級跨部門任務編組-「資通安全管理小組」,由副總經理擔任召集人,負責全公司資通安全政策規畫與執行,並擬訂公司資通安全管理、危機通報及緊急應變處理相關辦法。
  5. 5.資訊安全管理原則
    1. 資通訊安全管理涵蓋ISO/IEC 27001:2022 本文之管理要求及4 項資訊安全控制措施:
    2. 5.1 組織控制措施
    3. 5.2 人員控制措施
    4. 5.3 實體控制措施
    5. 5.4 技術控制措施
  6. 6.資訊安全責任
    1. 6.1 「資通安全委員會」應審議本政策及檢視相關管理制度,每年向董事會做專案成果報告。
    2. 6.2 「資通安全管理小組」應適時檢討修訂本政策及具體管理方案,以確保該政策符合目前需求。
    3. 6.3 資通安全管理單位應透過適當的標準和程序以實施本政策,並培養所有人員資通安全風險意識。
    4. 6.4 各部門主管應主動宣導並要求其部屬瞭解及遵守本安全政策與所有資通安全相關規定。
    5. 6.5 公司所有人員、供應商或相關業務資訊接觸之第三方人員均須遵循本政策之要求。
    6. 6.6 公司所有人員有責任報告任何可能發生的資通安全事件或資通安全弱點,並由「資通安全管理小組」責成防制與改善。
  7. 7.資訊安全評估與審查
    1. 本資通安全政策每半年評估一次,或於組織有重大變更時重新評估。並依評估結果,視需要予以適當修訂。
  8. 8.資訊安全公告實施與宣達
    1. 本政策經本公司「資通安全委員會」審議通過後公告施行,並揭露於公司內網、官網及年報上,修正時亦同。
發布日期:2024/09/10