ISO 27001 認證
與資訊安全政策聲明

本公司承諾依循 ISO 27001 建立安全可靠的資訊環境,強化全員資安意識,確保營運持續與利害關係人權益。資訊安全政策適用於所有員工與第三方,並規範核心原則與管理目標。

資訊安全政策聲明

本公司深知資訊安全對企業永續經營及保護客戶、合作夥伴及所有利害關係人權益的重要性,秉持「資訊安全是職場基本守則」理念,帶領全體同仁依循 ISO 27001 規範,推動資安管理維運,讓資訊安全成為每位員工職涯的基本職能。

我們承諾建立並維護一個安全可靠的資訊環境,以應對日益複雜的網路威脅,並確保業務運營的持續性。本政策確立了公司資訊安全實施的核心原則、管理目標和執行重點,適用於所有員工、合作夥伴及任何存取或使用本公司資訊資產的第三方。

資訊安全核心原則

  1. 確保核心系統管理業務的機密性 (Confidentiality) 、完整性(Integrity)、可用性(Availability)
    保護敏感資訊免遭未經授權的存取、洩漏或使用;維護資訊的準確性和完整性,防止未經授權的修改、損壞或遺失;確保授權使用者在需要時能夠及時且可靠地存取資訊系統和服務。
     
  2. 全面遵循法律與合規 (Compliance)
    承諾遵守所有適用的資訊安全法律法規、行業標準、合約要求以及內部政策,並定期進行合規性檢查和風險評估,確保我們的安全措施符合最新的規範。
     
  3. 持續優化資訊安全管理體系
    經由維護資訊安全管理系統 (ISMS),持續評估、監控和管理資訊安全風險,針對問題執行矯正措施。
     
  4. 深化資安意識,落實全員參與
    定期提供資訊安全課程培訓,提升員工對安全風險的認知,並鼓勵他們在日常工作中採取安全的行為。

資訊安全目標

完善管理資訊資產
持續改善與積極風險管理
提升員工的資安職能
建立利害關係人的信任

資訊安全執行重點

  1. 設立資訊安全委員會為專責單位,負責資訊安全策略的制定、實施、監督和定期審查。
     
  2. 定期(至少每年一次,或在發生重大變更時)審查資訊安全政策,以確保其與業務發展、法律法規變化和技術進步保持一致。
     
  3. 制定與實施各項安全管理措施。
     
    • 建置保護機房和資料中心免受實體威脅的物理安全措施,包括門禁系統和監視設備等。
       
    • 維護網路架構安全,包括防火牆、虛擬私人網路 (VPN) 等安全設備,並進行定期監控和日誌分析。
       
    • 基於最小權限原則的存取控制策略和措施,並定期執行使用者權限審查。
       
    • 制定終端設備 (包括BYOD) 安全管理規範,並在所有終端設備上部署防毒軟體。
       
    • 建立高可用性的基礎設施、定期進行系統維護、監控與備份。
       
    • 制定事件管理流程,確立資訊安全事件應對計畫和災難復原計畫,明確的處理流程和責任分配,並定期測試和演練這些計畫。
       
    • 制定需求管理,包括新增、變更等作業。
       
    • 制定文件管理措施,包括命名分級、變更、歸檔等作業。
       
  4. 建立並遵循安全的軟體開發生命週期管理流程和實踐,將安全考量融入開發的每個階段,並執行安全測試和漏洞修復。
     
  5. 對供應商進行安全評估、管理和監督,簽訂安全協議並定期監控其安全狀況。
     
  6. 實施定期的資訊安全意識教育訓練,提高員工對各種安全威脅的認識。
     
  7. 定期執行內部和外部安全稽核,進行漏洞掃描,並根據結果採取改進措施。
     

資訊安全委員會組織

Scroll Top