資訊安全政策

一、政策目的：

    鑑於資訊安全乃維繫各項服務安全運作之基礎，特訂定本政策，宣示本公司提供安全無虞之服務的決心與承諾，並作為本公司資訊安全工作之指導方針，以保護本公司資訊機房設備、網路及核心資通系統之安全，以避免當發生人為疏失、蓄意破壞或自然災害時，遭致資產不當使用、洩漏、竄改、毀損、遺失等情事，影響本公司作業或損及員工權益。

二、政策目標：

    本公司資訊安全目標為：建置符合國際標準所要求之資訊安全管理系統(Information Security Management System，以下簡稱ISMS)，確保各項服務符合機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與適法性(Compliance)之要求，並依各階層與職能定義及量測資訊安全績效之量化指標，以確認ISMS實施狀況及是否達成資訊安全目標。

三、組織與權責

    為確保資訊安全管理系統能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

四、適用範圍

    本資訊安全管理系統考量內部及外部議題、關注方之需要與期望，以及本公司活動與其他組織活動間之介面及相依性，適用範圍為本公司ISMS所涵蓋範圍內皆適用之。

   

            資訊安全管理系統包括內容如下，有關單位及人員就下列事項，應訂定對應之管理規範或實施計畫，並據以實施及定期評估實施成效:

         1.資訊安全組織與管理審查

         2.風險管理

         3.文件與記錄管理

         4.資訊安全內部稽核

         5.人力資源安全管理

         6.資產管理

         7.存取控制管理

         8.實體與環境安全管理

         9.運作安全與密碼學技術管理

        10.通訊安全管理

   11.系統獲取、發展與維護管理

   12.供應商關係管理

   13.資訊安全事故管理

   14.營運持續管理

   15.遵循性管理

五、實施原則：

    資訊安全管理系統之實施應依據規劃(Plan)、執行(Do)、查核(Check)及調整(Act)流程模式，以週而復始、循序漸進的精神，確保資訊業務運作之有效性及持續性。

六、審查與評估：

             1.本文件應至少每年評估審查一次，以反映相關法令法規、技術、業務及相關部門等最新發
      展現況，確保資訊安全實務作業之有效性。

    2.本文件應依據審查結果進行修訂，並經本公司負責人簽核發佈後始生效。

    3.本文件訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知利害關係人，如:
      所屬員工、契約客戶、供應商、合作夥伴等。