2025/02/13 資訊安全政策聲明

一.目的

鑑於資訊安全乃維繫各項資訊服務安全運作之基礎，為確保本公司具備共識落實資訊安全的使命，特訂定本資訊安全政策（以下簡稱本政策），做為本公司資訊安全管理系統的最高指導原則，以確保本公司管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求，進而保障全公司人員及客戶之權益。

二.適用範圍

本公司員工、接觸本公司業務資料之外機關人員、委外服務提供廠商人員及訪客。

三.名詞解釋

1.機密性（Confidentiality）：確保只有經授權的人員才能存取相關資訊資產。
2.完整性（Integrity）：維持資訊資產之正確與完整。
3.可用性（Availability）：確保經授權的人員在需要時，均能在可接受的時間內取得相關資訊資產。
4.核心系統：本公司 ISO/IEC 27001驗資訊安全管理制度之驗証範圍或實施範圍內之重要系統（如：作業系統、網站應用程式、資料庫、與其閘道端網路保護軟硬體）。
5.資訊安全：係避免因人為疏失、蓄意或自然災害等風險，運用系統化之 控制措施，包含政策、實施、稽核、組織結構和軟硬體功能等，以確保 本公司資訊資產受到妥善保護。
​​​​6.資訊資產：凡本公司作業流程中使用之資訊資產，如內部人員、外部人員、 紙本文件、電子文件、網路服務、電腦應軟體、應用系統、電腦硬體、 網路設備、環控系統、建築保護設施與便利設施等皆屬之。

四.組織與權責

為確保資訊安全管理系統能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

五.要求事項

1.資訊安全目標

(1)本公司依照適用之法律法規要求、提供客戶專業之資訊系統維運服務。
(2)為確保客戶服務品質，確保公司持續營運、保障客戶資訊安全之權益，本公司資訊安全目標為確保核心系統管理業務（意即ISO/IEC 27001驗證範圍內之資訊系統與相關管理活動）之機密性（Confidentiality）、完整性（Integrity）、可用性（Availability），依「風險管理程序」與「資訊安全目標管理程序與績效管理程序」定義及量測資訊安全績效之量化指標，以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

2.審查與評估

(1)本政策訂定或修訂後應以適當方式（例：E-Mail 或網站公告/紙本印出/稽核時提供/客戶要求時提供）告知利害相關團體，如：所屬員工、供應商、客戶、外部稽核人員等。
(2)本政策經資安管理審查會議審議後公布實施，修正時亦同。
(3)本政策應至少每年評估審查一次，考量法令法規、科技變化、利害相關團體之需求與期望、業務活動、內部管理與資源等最新現況，確保資訊安全實務作業之有效性。