1.0 目的

為執行資訊安全管理，強化本公司主機、網路設備的通訊安全，降低因人為疏失、蓄意或天然災害導致資產遭竊、不當使用、洩露、竄改或破壞等風險，確保資訊資產的機密性、完整性及可用性，故訂定本政策，以作為本公司實施各項資訊安全措施之依據。

2.0 適用範圍

本公司員工及約聘雇人員、顧問、合作業務往來廠商與客戶等。

3.0 資訊安全目標

為維護資訊資產及資訊作業安全之機密性、完整性及可用性，並保障使用者資料隱私，藉由全體同仁共同努力來達成以下目標：

3.1 持續強化改善整體資訊安全管理制度能力。

3.2 適時適當提昇資訊安全管理與技術專業能力及其相關工具。

3.3 保護本公司業務活動資訊，避免未經授權的存取、修改，確保其正確完整。

3.4 符合相關法令或法規之要求，達成業務持續運作之目標。

4.0 管理單位

本公司資訊部門為資訊安全管理部門，負責制定相關制度規範及處理相關資訊安全議題，並依組織運作制度向上級主管報告。

5.0 資訊安全要求事項

5.1 本公司員工及約聘雇人員、顧問、合作業務往來廠商與客戶，凡使用公司資訊以提供資訊服務或執行專案工作等，均有責任及義務保護其所取得或使用之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。

5.2 本公司各單位人員，對所負責業務而持有之資訊資產應負保管責任，確保重要資訊資產之機密性、完整性及可用性，防止其遭受意外或蓄意破壞、擅改、不當揭露或損失(包含實體或電子方式竊取)，以符合公司之營運利益並遵循相關法律及法規之要求。

5.3 維護保障資訊安全為每位人員之義務，當認知有違資訊安全之情事，應予即時防制並進行通報。

5.4 各項管理、行政及技術作業之發展、制訂及變更，應考量資訊安全之需求。

5.5 各項作業中獲知之資訊，其資訊保護及保密責任不因工作變更而滅失。

5.6 各項蒐集、處理與利用個人資料之業務，須符合個人資料保護法相關法令的要求。

5.7 各項資訊資產之取存運用，包括電腦、網路設施及資訊系統等軟硬體之安裝、建置、發展、使用及維護，應參照相關的作業程序並獲得授權後方可執行。

5.8 應定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升公司資訊安全水準及資訊安全管理能力。

5.9 應建立防病毒及防駭機制，保護資訊作業及相關資產，防止人為意圖不當或不法使用，遏止駭客、病毒等入侵及破壞之行為。

5.10 為維護網路安全，防範電腦病毒之侵襲，應購買合法防毒軟體或關閉不必要之網路連線及服務，並定時更新相關病毒碼及掃毒引擎。

5.11 對資訊安全事件應建立緊急通報機制，在發生資訊安全事件時，應依處理程序，立即向主管機關通報，並視業務需求訂定業務持續運作計畫，定期測試演練。

5.12 資訊安全措施，應符合法律之規範與本政策要求。

6.0 審查與宣導

6.1 資訊安全政策每年至少評估一次，或於發生重大事件變動時重新評估，以期符合相關法令、時勢變化、營運狀態最新發展現況。

6.2 本政策以書面電子郵件、刊登於網站或其他方式公告周知。

7.0 政策實施

本資訊安全政策經總經理核准後實施，修正時亦同。