資訊安全政策

「您的信任,我們的責任。」

我們深知資訊安全對於您和我們的工作來說非常重要,因此,本公司將致力於保障資訊安全,確保您的資料在我們的系統中始終受到妥善保護,以提供安全、可靠的服務。
以下為本公司的資訊安全政策(版本1.0),於 2024-05-24 訂定。

一、目的

  1. 確保本公司提供服務之資訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險。
  2. 確保本公司業務資訊之機密性、完整性與可用性:
  • 機密性:確保被授權之人員才可使用資訊。
  • 完整性:確保使用之資訊正確無誤、未遭竄改。
  • 可用性:確保被授權之人員能取得所需資訊。

二、依據

  1. 資通安全管理法
  2. 個人資料保護法
  3. ISO/IEC 27001:2022
  4. ISO/IEC 27002:2021

三、適用範圍

  1. 本公司資訊安全管理系統(ISMS)所涵蓋範圍皆適用之。
  2. 資訊安全涵蓋四大管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
    1. 組織管理
    2. 人員管理
    3. 實體管理
    4. 技術管理

四、政策目標

  1. 系統可用性達 99.9%以上。(中斷時數/總運作時數≤ 0.1%)。
  2. 知悉資安事件發生後,於規定的時間完成通報、作業的比率為100%,復原作業若可達成,應盡力復原。
  3. 電子郵件社交工程演練之郵件開啟率/附件點閱率低於5%。
  4. 辦理資安及社交工程教育訓練(1次)。
  5. 系統發生資料外洩之資通安全事件(≦1次/年)。
  6. 服務網站發生資料遭竄改之資通安全事件(≦1次/年)。
  7. 帳號權限管理未授權事件(≦1件/年)。
  8. 辦理資訊安全內部稽核1次。
  9. 辦理資訊安全外部稽核1次。

五、承諾事項

  1. 組織管理:
    • 依營運要求及相關法律與法規,提供資訊安全之管理指導方針及支持。
    • 成立資訊安全管理組織,負責資訊安全制度之建立及推動事宜。
    • 識別組織之資產並定義適切之保護責任,並對供應商可存取之組織資產亦有相應之保護。
    • 訂定資訊安全管理制度內部稽核計畫,並依稽核報告擬訂及執行矯正預防措施。
    • 確保對資訊安全事故能有效管理,包括評估、通報與處置流程。
    • 建立營運持續計畫,並確保中斷期間之資訊安全。
  2. 人員管理:
    • 所有人員負有維持資通安全之責任,且應遵守相關之資通安全管理規範。
    • 定期實施資訊安全教育訓練,宣導資訊安全政策及相關規定。
  3. 實體管理:
    • 防止辦公場域遭未經授權之進入,以及實體資產之遺失、損害或遭竊。
    • 制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序,並定期執行查核作業,降低機密資料外洩的風險。
  4. 技術管理:
    • 明確規範系統之使用權限,防止未經授權之存取動作。
    • 確保適當及有效使用密碼學,以保護資訊之機密性。
    • 識別、評估和處理在系統開發與維護過程中所面臨的技術脆弱性。
    • 建立主機及網路使用之管理機制,並將風險、安全因素納入考量,防範危害系統安全之情況發生。

六、評估與審查

  1. 本政策應至少每年評估及審查一次,以反映政府政策、法令、技術及本公司業務等之最新發展現況,確保本公司資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。

七、實施

  1. 本政策經資訊安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知本公司全體及與本公司有關之廠商、客戶,修正時亦同。
讓我們挺你,用聰明的方法改變世界