資通安全政策
本公司為完善各項資安防護,採取適當管理作為及執行規劃:
(一)任命資通安全長,由副總級以上或指派適當人選擔任。每年至少召開一次審查會議,必要時得召開臨時會,以確保資通安全維護整體持續改善。
(二)組成資通安全管理組織,負責資通安全制度之建立及推動事宜。
(三)訂定有效性之測量項目及方法,以達到本公司資訊安全目標。
(四)識別各項資訊資產及作業流程的潛在風險與機會,採取必要之控制要項進行改善,進而達到降低、迴避、轉移風險,以防範相關資安事件之發生。
(五)鑑別出組織全景、內部與外部的關注方,以及該關注方參與組織資訊安全防護程度,並明訂工作人員的職責及權責。
(六)識別供應商所提供之產品與服務類型,應符合法律法規要求,與存取資訊或資訊處理設施之各項資訊安全要求,並明訂於合約與協議中及定期審查。
(七)建立設備、資料安全及人員管理規範及資安事故之通報與應變機制。
(八)建立資訊安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制,以盡善良管理人之責任。
(九)定期對同仁實施資訊安全認知宣導,並針對資安專責(職)人員、資訊人員及個人資料檔案專責人員,辦理適當之教育訓練。
(十)訂定內部稽核計畫,檢視本公司資訊安全管理措施之執行情形,並依稽核報告採取適當矯正措施。
本政策應依業務變動、技術發展及風險評鑑之結果,每年至少評估一次作成審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及本公司營運要求。本政策由資通安全長核定後實施。