資安政策

• 資訊安全政策

為達成維護資訊安全之目的，本公司訂定相關資訊安全控制措施如下：

1. 應指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，並設置資訊安全專責單位，該單位應配置專責主管及至少二名專責人員，專門負責資訊安全相關工作或職務，並與各相關單位(如：主管機關、客戶、員工、供應商、資安專家……等關注方)保持適當之溝通管道。

1. 所有資訊安全責任應受定義及分配，職務與責任應進行區隔，且為有效推行資訊安全工作，應成立「資訊安全委員會」及「資訊安全工作小組」，統籌資訊安全政策、資源調度等協調及研議事項。

1. 辦理資訊安全及個人資料保護管理教育訓練及宣導，強化員工資訊安全管理之意識與對相關責任之認知。

1. 建立資訊資產清冊，明確指定保管者，並識別資訊資產價值、威脅及弱點，定義適當的保護責任。

1. 執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。

1. 限制資訊與其處理設備、系統及應用程式的使用，以防未經授權的存取。

1. 建立密碼及金鑰控制措施，以保護數位資訊之機密性、鑑別性及完整性。

1. 對開發、測試及營運環境進行區隔，以降低營運系統受未經授權存取或變更之風險；監控、調配各項資源的使用與系統技術弱點資訊，採取適當改善措施，並建立對惡意軟體之偵防及復原等措施。

1. 資訊相關專案應明定資訊安全要求，並定期檢視、審查供應商交付的服務報告；若有服務變更或複委託之情事，均依專案管理程序辦理，並考量所涉及之時程、預算重新評估風險，以維護本公司權益。

1. 明訂管理責任與程序以確保對資訊安全事故做出迅速、有效的回應及通報，並識別、收集、取得及保存可用來作為證據的資訊，分析與解決以降低未來事故發生的可能性或影響。

1. 定期驗證並實作各項資訊的備份與測試及資訊服務營運持續程序，以確保其有效性。

1. 實施資訊安全管理內部稽核制度，確保資訊安全管理及個人資料保護管理之落實執行。

1. 依適用的法律、規定、契約及或專業責任，以及個人及其他主要利害關係人的利益，持續改進資訊安全管理系統。