資訊安全政策
一、目的
1. 本公司ISO 27001管理系統涵蓋組織控制(A.5系列)、人員控制(A.6系列)、實體控制(A.7系列)、技術控制(A.8系列)等領域,依據ISO 27001:2022年版條文展開必要之資安管制措施。
2. 確保公司所提供之服務連結各項網通設備、個人載具得以管控因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險。
3. 確保業務活動資訊之機密性、完整性與可用性。
二、資安框架
1. 公司各項資訊安全管理規定必須遵守政府相關法規。
2. 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
3. 定期實施資通安全教育訓練,宣導資訊安全政策及相關實施規定。
4. 建立主機及網路使用之管理機制,以統籌分配、運用資源。
5. 新設備建置前,將全因素納入考量,應防範潛在之危害。
6. 明確規範網路系統之使用權限,防止未經授權之存取動作。
7. 訂定內部稽核計畫,定期檢視公司資訊安全管理制度執行成效。
8. 定期向管理者報告資訊安全之持續改善事項,並定期追蹤。
本公司經高階管理者審查發佈之政策宣示如下:
1. 建置合宜資安制度,以搭配隱私保護。
2. 強化實體網路環境,以穩定傳取傳輸。
3. 落實各項控制措施,以符合法令法規。
4. 持續優化安全認知,以提升資安績效。
四、資安政策之評估與審查
本政策應至少每年審查一次,以反映政府政策、法令、現行技術及公司業務等之最新發展現況,以確保公司資訊安全管理制度的適切性及有效性。
五、實施
本政策經總經理核准,於公告日施行,採用書面、電子或其他方式通知本公司同仁及利害相關者,修正時亦同。