資訊安全政策

為使本公司業務及服務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 符合法令與法規要求。

  2. 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。

  3. 落實資通安全教育訓練及新進人員資安宣導,以提高同仁之資通安全意識。

  4. 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。

  5. 防護未經授權的修改以保護資訊及資通系統之完整性。

  6. 確保經授權之使用者當需要時能使用資訊及資通系統。

  7. 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。

  8. 落實資通安全管理系統執行及通過公正第三方驗證(複驗)。

  9. 落實委外廠商管理,以確保資通服務之安全。

  10. 落實稽核執行及管理審查流程,以達致資訊安全管理制度之持續改善。

個人資料之蒐集及運用

將依個人資料保護法及相關法令之規定,不會任意對其他第三者揭露。使用本網站時,本網站將自動收集下列資訊:日期和時間、您所擷取之網頁、您所在之網址、您的瀏覽器種類、您對本網站網頁所做行動(如下載等)及成功與否。這些資訊僅用為改善本網站之效能參考。監測對本網站造成重大負荷的網址上的行為。

資訊安全權責與教育訓練

對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員,妥適分工,分散權責並建立評估及考核制度,及視需要建立人員相互支援制度。對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源之權限。依角色及職能為基礎,針對不同層級工作人員,視實際需要辦理資訊安全教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,遵守資訊安全規定。

資訊安全作業及保護

建立處理資訊安全事件之作業程序,並賦予相關人員必要的責任,以便迅速有效處理資訊安全事件。建立資訊設施及系統的變更管理通報機制,以免造成系統安全上的漏洞。依據電腦處理個人資料保護法之相關規定,審慎處理及保護個人資訊。建立系統備援設施,定期執行必要的資料、軟體備份及備援作業,以備發生災害或儲存媒體失效時,可迅速回復正常作業。

網路安全管理

與外界網路連接之網點,設立防火牆控管外界與內部網路之資料傳輸及資源存取,並執行嚴謹的身分辨識作業。機密性及敏感性的資料或文件,不存放在對外開放的資訊系統中,機密性文件不以電子郵件傳送。定期對內部網路資訊安全設施與防毒進行查核,並更新防毒系統之病毒碼,及各項安全措施。

系統存取控制管理

視作業系統及安全管理需求訂定通行密碼核發及變更程序並作成記錄。登入各作業系統時,依各級人員執行任務所必要之系統存取權限,由系統管理人員設定賦予權限之帳號與密碼,並定期更新。