資安政策

最後更新於: 2026-03-30

1. 目的

鑑於資訊安全乃維繫各項資訊服務安全運作之基礎,為確保本公司具備共識落實資訊安全的使命,特訂定本資訊安全政策(以下簡稱 本政策),做為本公司資訊安全管理系統的最高指導原則,以確保本公司管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求 ,進而保障全公司人員及客戶之權益。

2. 適用範圍

本公司員工、接觸本公司業務資料之外機關人員、委外服務提供廠商人員及訪客。

3. 名詞解釋

  • 3.1 機密性(Confidentiality):確保只有經授權的人員才能存取相關資訊資產。
  • 3.2 完整性(Integrity):維持資訊資產之正確與完整。
  • 3.3 可用性(Availability):確保經授權的人員在需要時,均能在可接受的時間內取得相關資訊資產。
  • 3.4 資訊安全:係避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含政策、實施、稽 核、組織結構和軟硬體功能等,以確保本公司資訊資產受到妥善保護。

4. 組織與權責

為確保資訊安全管理系統能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。

5. 要求事項

  • 5.1 資訊安全目標
    • 5.1.1 本公司依照適用之法律法規要求,提供客戶專業之資訊系統開發、維運服務。
    • 5.1.2 為確保客戶服務品質與公司持續營運,本公司資訊安全目標為確保核心業務之機密性(Confidentiality)、完整性(Integrity)、可用 性(Availability),並透過量化指標定期量測資訊安全績效,以確認資訊安全管理系統之實施成效。
  • 5.2 審查與評估
    • 5.2.1 本政策應至少每年評估審查一次,考量法令法規、科技變化、利害相關團體之需求與期望、 業務活動、內部管理與資源等最新現況,確保資訊安全實務作業之有效性。
    • 5.2.2 本政策應依據審查結果進行修訂,修正時亦同。
    • 5.2.3 本政策訂定或修訂後應以適當方式告知利害相關團體,如:所屬員工、供應商、客戶、外部稽核人員等。

6. 資訊安全管理政策

本公司各項資訊安全管理規定遵守政府相關法規,如:資通安全管理法、刑法、著作權法、個人資料保護法等之規定。

  1. 建立文件化之資訊安全管理制度,確保管理文件與紀錄之制定、審查、發行及修訂均有明確程序可循。
  2. 持續執行風險評鑑與風險處理,鑑別資訊資產面臨之威脅與弱點,採取適當防護措施將風險降至可接受範圍。
  3. 定期分析組織內外部議題及利害相關者之需求與期望,確保資訊安全管理系統之方向符合營運環境。
  4. 訂定內部稽核計畫並定期執行,檢視資訊安全管理制度之落實情形與有效性。
  5. 成立資訊安全組織並明定權責,定期召開管理審查會議,由管理階層審視制度運作成效並做出改善決策。
  6. 有效管理資訊資產,依資產價值與敏感度分級分類,實施適當之保護措施。
  7. 訂定營運持續計畫並實際演練,降低因災害或重大事故造成服務中斷之衝擊,確保關鍵業務於可接受時間內恢復運作。
  8. 訂定資訊安全目標與量化績效指標,定期量測與評估達成狀況,作為持續改善之依據。
  9. 針對不符合事項採取矯正措施,分析根本原因並追蹤改善成效,防止問題再次發生。
  10. 建立資訊安全事故通報與應變機制,確保事故即時回報、妥善處理並記錄分析,降低事故影響範圍。
  11. 鑑別適用之法律法規與合約要求,定期審查遵循狀況,確保資訊安全管理作業符合相關法規之規定。
  12. 評估並管理供應商之資訊安全風險,於合約中明訂資安要求,定期監督供應商服務之安全性與合規性。
  13. 建立變更管理流程,確保資訊系統或服務之變更經適當評估與核准後始得實施,避免引入新風險。
  14. 實施資訊安全教育訓練,宣導資安政策及相關規範,提升全體人員之資訊安全意識。
  15. 明確規範資訊系統與網路服務之存取控制,落實權限管理與定期審查,避免未經授權之存取。
  16. 透過防火牆及加密等控制機制維護網路與通訊安全,確保資訊傳輸過程之機密性與完整性。
  17. 落實作業環境安全管理,包含系統備份、組態管理、日誌保存及防惡意程式等措施。
  18. 建立實體與環境安全防護措施,規範門禁管制與設備管理,防止資訊資產遭竊取或損害。
  19. 資訊系統之獲取、開發與維護應納入資安需求,落實安全開發生命週期及上線前測試,確保系統安全。

使用我們的服務即表示您同意Cookie政策。了解更多