資訊安全政策

目的

確保公司資訊資產的機密性、完整性與可用性,降低因人為疏失、技術故障或惡意攻擊導致的風險,並符合政府相關資安法令規定。

依據

參考ISO27000系列資安相關條文、GDPR,政府資安法令規定。

適用對象

本政策適用於所有員工、承包商、第三方供應商及任何使用公司資訊資產的人員,包括但不限於:

  • 電子郵件系統
  • 資料庫
  • 網路基礎設施
  • 應用程式及軟體

責任與角色

  • 經營階層:負責提供資安政策的支持及資源,並確保政策符合公司目標。
  • 資訊課:負責實施技術控制措施,如防火牆、郵件過濾及入侵檢測系統。
  • 員工:遵守政策規定,參與資安培訓,並報告任何可疑事件。

政策內容

風險評估

  • 定期識別公司資訊資產的潛在威脅與弱點。
  • 進行內部與外部威脅分析,包括惡意軟體、駭客攻擊及自然災害。

資訊存取控制

  • 僅授權人員可存取敏感資料。
  • 強化密碼規則,採政府組態基準(GCB)密碼原則
  • 定期審查存取權限。

資料保護

  • 敏感資料分類並加密存儲。
  • 建立備份策略,確保資料可復原。
  • 制定安全的資料銷毀程序。

資安事件回應

  • 建立事件回應計畫,包括偵測、遏制、恢復及報告。

員工教育與培訓

  • 提供定期資安培訓,包括釣魚攻擊辨識及密碼管理。

隱私與個資保護

  • 尊重並保護所有利害關係人(員工、客戶、供應商等)個人資料隱私。
  • 收集、處理、儲存、傳輸個資時,遵循法規及資訊安全要求。
  • 取得當事人同意,並於必要時提供查詢、修改或刪除權利。

相關子政策包含:

  1. 資訊安全訓練和演練
  2. 資訊安全風險評估辦法
  3. 漏洞管理政策
  4. 個資與資料收集
  5. 資料銷毀程序
  6. 供應商管理: 分享資安相關的培訓或宣導
 

本政策將每年檢視一次,以適應新興威脅和技術變化。所有修訂需經高層管理批准後實施。

此政策旨在平衡安全需求與業務效率,保障公司資訊資產免受威脅,同時支持業務目標的達成。

本政策經總經理核准後實施,公告全體員工、合作夥伴及供應商遵循。

 

公布日期:2025.06.25                                                                   
版本:V.1