資訊安全政策

強化本公司的資訊安全管理，建立「資訊安全，人人有責」之觀念，確保客戶及同仁資料處理之機密性、完整性及可用性，務必使本公司資料之處理全程均獲安全保障，提供安全穩定及高效率之資訊服務。

1.資訊安全政策：(依附錄A5~A18)
1.1依營運要求及相關法律與法規，提供資訊安全之管理指導方針及支持。
1.2資訊安全政策由管理階層定義並核准，且對內部及相關外部傳達。
1.3資訊安全政策應定期或發生重大變更時審查，以確保合宜性、適切性及有效性。

2.資訊安全之組織：
2.1建立管理框架，以於組織內啟動及控制資訊安全之實作及運作。
2.2確保遠距工作及使用行動裝置之安全。

3.人力資源安全：
3.1確保員工及承包者瞭解其將承擔之責任，並適任其角色。
3.2確保員工及承包者認知並履行其資訊安全責任。
3.3將保護組織利益納入聘用變更或終止聘用過程之一部分。

4.資產管理：
4.1識別組織之資產並定義適切之保護責任。
4.2確保所有資產依其對組織之重要性，受到適切等級的保護。
4.3防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。

5.存取控制：
5.1限制對資訊及資訊處理設施之存取。
5.2確保授權使用者得以存取，並避免系統及服務的未授權存取。
5.3令使用者對保全其鑑別資訊負責。
5.4防止系統及應用遭未經授權存取。

6.密碼學：
6.1依照法規、客戶要求及資訊資產風險設置加密機制。
6.2對加密使用金鑰進行取得、安裝、回收、備份及展期作業。

7.實體及環境安全：
7.1防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
7.2防止資產之遺失、損害、遭竊或破解，並防止組織運作中斷。

8.運作安全：
8.1確保資訊處理設施之正確及安全操作。
8.2確保資訊及資訊處理設施，以防範惡意軟體。
8.3防範資料漏失。
8.4紀錄事件及產生證據。
8.5確保運作中系統之完整性。
8.6防範對技術脆弱性之利用。
8.7使稽核活動對運作中系統之衝擊降至最低。

9.通訊安全：
9.1確保對網路及其支援之資訊處理設施中資訊之保護。
9.2保護組織內及與任何外部個體所傳送資訊之安全。

10.系統獲取、開發及維護：
10.1確保資訊安全係跨越整個生命週期之整體資訊系統的一部分。此亦包括經由公共網路提供服務之資訊系統的要求事項。
10.2確保於資訊系統之開發生命週期內，設計及實作資訊安全。
10.3確保測試用資料之保護。

11.供應者關係：
11.1確保對供應商者可存取之組織資產的保護。
11.2維持資訊安全及服務交付之議定等級與供應者協議一致。

12.資訊安全事故管理：
12.1確保對資訊安全事故之管理的一致及有效作法，包括對安全事件及弱點之傳達。

13.營運持續管理之資訊安全層面：
13.1資訊安全持續應嵌入組織之營運持續管理系統中。
13.2確保資訊處理設施之可用性。

14.遵循性：
14.1避免違反有關資訊安全相關之法律、法令、法規或契約義務，以及任何安全要求事項。
14.2確保依組織的政策及程序，實作及運作資訊安全。