本公司重視客戶、投資人的利益,因應新興科技下,公司可能遭受外來的惡意威脅與侵犯,導致公司名譽受損及營運困難,進而影響客戶、股東的權益,爰此導入ISO27001資訊安全管理制度,制定資訊安全政策與相關規範,並內部公告宣導,以強化公司內部資訊安全治理及同仁的資訊安全意識。
更新日期:2022年O9月21日
本公司資訊安全政策
本公司宣告資訊安全政策:
- 資訊安全目標如下:
- 1.1 確保本公司資訊資產之機密性,落實資料存取控制,資訊需經授權人員方可存取。
- 1.2 確保本公司資訊作業管理之完整,避免未經授權之修改。
- 1.3 確保本公司資訊作業之持續運作。
- 1.4 確保本公司資訊作業均符合相關法令規定、契約要求。
- 資訊安全控制措施如下:
- 2.1 成立資訊安全管理組織,由執行長擔任召集人,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
- 2.2 管理階層承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
- 2.3 定期檢討並適時的更新資訊安全管理制度文件,並有明確的管理制度保護相關之紀錄。
- 2.4 定期盤點及進行資訊資產分類與衝擊性分析,及進行風險評鑑作業,鑑別可能危害資訊安全管理系統運行之風險,採取適當的措施進行處置弭平風險。
- 2.5 定期向員工進行資訊安全宣導,強化資訊安全意識以避免因疏失引發資訊安全事件,本公司員工皆有責任及義務保護其擁有、保管或使用之資訊資產。
- 2.6 單位主管於員工之工作分派上考量職能分工,職務權責適當區分,以避免資訊、產品或服務遭未經授權修改或誤用,影響客戶之權益。
- 2.7 對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客等,若有存取本公司資訊資產之需求時,進行必要之審核及要求簽署資訊安全相關遵守切結書。
- 2.8 考量業務需求、及可能影響客戶權益之事件,訂定資訊作業持續運作計畫,並定期測試演練,確保在事件發生時,能夠以最快時間回復到正常作業。
- 2.9 為確保本公司資訊安全目標之達成,設置資訊安全指標並定期量測,以維持資訊安全管理制度及管控程序實施之有效性。
- 2.10 確保管制區域與辦公區域場所之安全,以防範資訊資產遭竊取或毀損。
- 2.11 持續落實及強化網路通訊安全管理,以降低駭客、外部攻擊、惡意程式等事件影響公司正式營運之風險。
- 2.12 系統開發、修改及維護,皆遵守並符合ISO27001之控制精神,經過適當之評估、討論、分析及授權後為之,並於交付前經過測試及確認。
- 2.13 若有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事,依程序進行通報、影響範圍分析及確認,並執行補救措施降低損失。
- 2.14 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業,並持續符合ISO27001國際證書驗證標準。
- 本政策每年至少審查一次,並於必要時修正並公告。