資訊安全政策
本公司秉持維護其作業環境之資訊安全及服務客戶之理念,除基本必要之資訊安全控管措施,更在於確保所有資料及處理過程均獲安全保障,本公司將強化資訊安全管理並持續提昇重要個人及交易資料等資訊之機密性、完整性及可用性,落實推動資訊安全管理作業,以提昇本公司之服務品質。本公司資訊安全聲明如下:
-
成立適當組織,執行資訊安全管理作業,確保本公司符合法令法規,並維持資訊安全管理體系維運之正常運作。
-
工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未授權修改或誤用。
-
所有人員凡其使用本公司資訊以提供資訊服務或執行專案工作等,均有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
-
所有人員有義務保護客戶資料,包含交易資料與基本資料,禁止未授權的情況下接觸、使用或是將該資訊揭露、告知予與業務無關之同仁、廠商及其它客戶。
-
應強化電腦資訊實體環境的安全保護,如機房門禁、空調、不斷電設備等,避免資訊、資產遭未經授權存取、損害或意外災害,影響營運活動正常運作。
-
所有人員不得私自串接外部網路與本公司內部網路,應設置必要之安全設施以保護內外部網路。
-
系統開發應於初始階段考量安控機制之佈置,委外開發部分應強化控管及合約之資訊安全要求,系統開發、修改及建置應符合並遵循資訊安全管理規範。
-
所有人員對於有發生安全事件、安全弱點及違反資訊安全管理體系實施規範與管理程序之虞者,應隨時保持警戒,並依程序進行通報。
-
應依業務需求訂定業務持續運作計畫,並定期測試演練,維持其適用性。
-
資訊安全組織依據資訊安全政策及組織權責,擬訂資訊安全目標並由資訊安全委員會議審核後實施。
-
資訊安全目標應涵蓋機密性、完整性與可用性並呼應資訊安全政策要求產生之。
-
本政策至少每年經本公司資訊安全組織最高主管審閱一次,以符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
-
本政策未盡事宜,悉依有關法令及本公司相關規定辦理。
-
本政策經本公司資安長同意後實施;修正時亦同。