資訊安全政策

2.1 成立資訊安全管理組織，由資安長擔任召集人，督導資訊安全管理制度之運作，鑑別資訊安全管理制度之內、 ​外部議題及利害相關團體對本公司之資訊安全要求與期望。 ​

2.2 外部議題及利害相關團體對本公司之資訊安全要求與期望。 ​

2.3 管理階層承諾維護資訊安全，持續改善資訊安全品質，減少資訊安全事故之發生，以保障客戶之權益。 ​

2.4 定期檢討並適時的更新資訊安全管理制度文件，並有明確的管理制度保護相關之紀錄。 ​

2.5 定期盤點及進行資訊資產分類與衝擊性分析，及進行風險評鑑作業，鑑別可能危害資訊安全管理系統運行之風​險，採 取適當的措施進行處置弭平風險。 ​

2.6 定期向員工進行資訊安全宣導，社群網路規定使用，以強化資訊安全意識以避免因疏失引發資訊安全事件，本​公司員工皆有責任及義務保護其擁有、保管或使用之資訊資產。 ​

2.7 單位主管於員工之工作分派上考量職能分工，職務權責適當區分，以避免資訊、產品或服務遭未經授權修改或​誤用 影響客戶之權益。 ​

2.8 對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客等，若有存取本公司資訊資產之需求時，進行必要之審核及要求簽署資訊安全相關遵守切結書。 ​

2.9 考量業務需求、及可能影響客戶權益之事件，訂定資訊作業持續運作計畫，並定期測試演練，確保在事件發生​ 時，能夠以最快時間回復到正常作業。 ​

2.10 為確保本公司資訊安全目標之達成，設置資訊安全指標並定期量測，以維持資訊安全管理制度及管控程序實施​之有效性。 ​

2.11 確保管制區域與辦公區域場所之安全，限制未經授權的 USB 隨身碟存取、外部雲端儲存服務以及應用軟體使用，​以防範資訊資產遭竊取或毀損。 ​

2.12 持續落實及強化網路通訊安全管理，以降低駭客、外部攻擊、惡意程式等事件影響公司正式營運之風險。 ​

2.13 系統開發、修改及維護，皆遵守並符合 ISO27001 之控制精神，經過適當之評估、討論、分析及授權後為之，​並於交付前經過測試及確認。 ​

2.14 若有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事，依程序進行通報、影響範圍分析及確認，​並執行補救措施降低損失。 ​

2.15 遵循內外部相關法令規定，建立應有之管控程序，定期執行資訊安全查核作業，並持續符合 ISO27001 國際證​書驗證標準。