資通安全政策

一、組織：

為強化本公司之資訊安全管理、確保資料與系統及網路安全，故設立資安專責單位-資安室，組織包含資安專責主管及一名資安人員，負責資通安全事務的規劃與執行。

資安專責主管至少每年一次於董事會中報告重大議題或規劃。

二、資訊安全政策：

1.維護資訊資產之機密性，確保經過適當授權存取，保障資訊業務隱私。

2.保障業務內部資料完整性，避免未經授權的存取及修改。

3.確保業務永續經營，維持資訊服務可用性。

4.確保各項資訊業務符合相關法令規定要求。

三、具體管理方案：

1.資訊安全管理：保護公司免遭受破壞或威脅，維護資料、網路、系統及設備安全，降低環境風險，提供公司安全及可信賴之作業環境。

2.資訊安全組織：監督資訊安全管理之運行，擬定公司資訊安全發展方向、策略及步驟，增進公司運作安全。

3.資訊資產：訂定資訊資產管理之報廢程序，建立相對應之儲存資料刪除或銷毀程序，防止公司業務資料或個人資料遭到外洩，以妥善保護公司資訊資產。

4.資訊存取控制：制定存取控制規範，確保公司資訊作業存取權限經過適當的授權及管控，以防不當存取，確保公司資訊業務的機密性，降低未經授權存取系統的風險。

5.電腦資訊管制：維護電腦資訊系統的有效運作，包括電腦主機、應用軟體與資訊系統等，針對公司員工訂定相關管制程序。

6.軟體確效與管控：定期對軟體系統進行重新確效驗證程序，或於原廠系統修改、更新進行變更後，於時限內進行重新確效驗證之程序。

7.實體與環境安全：針對公司辦公區域與資訊機房實體進行環境管理，並制定相對應之管制程序，保護資訊資產以及周邊環境的安全，以減少環境安全問題所引發的危害，以達到安全控管的目的。

8.資訊安全事件：公司資訊系統發生資訊安全事件與資訊安全事故時，針對事件即時做出研判並採取必要應變措施及後續預防措施，建立完善通報處理作業程序。

9.營運持續管理：針對資訊系統設施，評估系統中斷可能造成的營運風險，進而擬定備援或恢復計畫，並定期執行演練。

10.法律遵循：本公司及員工應遵循各項資訊安全相關之法律、法令、法規或契約義務，以及公司資訊規範要求的事項。

四、資通安全的資源投入 ：

針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作，資安室皆會定期檢討規劃與執行進度，並於公司週會或用郵件宣導資安觀念。並透過不定期的工程演練、資安健檢服務等，判斷使用者的資訊安全觀念是否足夠、資訊設備資源投入與系統配置是否存在漏洞，編列資安預算後執行。

五、緊急通報程序：

當發生資訊安全事件時，發生單位通報資安室，判斷事件類型並找出問題點，即時處理並留下紀錄。