第一條

為維護公司整體資訊安全，強化各項資訊資產之安全管理，確保其具機密性、完整性、可用性，免於因外在之威脅或人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對公司造成各種可能之風險及危害，以因應業務運需要，符合相關法規、法令要求，特制訂本政策，以供全體同仁共同遵循。

第二條

本政策適用於組織內各項資訊資產及其資訊使用者。資訊使用者係包含正式員工、聘僱人員、建置維護廠商及其他經授權使用資訊資產之人員。

第三條

由資訊部負責訂定公司內部資訊安全政策、規劃和執行資訊安全政策推動與落實以及資訊安全的防護；由稽核單位負責督導內部資安執行狀況。

第四條

資訊安全人人有責，藉由本公司全體同仁共同努力以達成保護本公司研發、業務、生產、服務等之資訊安全，確保資訊需經授權人員才可存取資訊，以維護其機密性、完整性、可用性並符合相關法規的要求。

第五條

資訊安全的評估採用 PDCA（Plan，Do，Check，Action）模式，定期進行獨立及客觀的評估，以反映資訊安全管理政策、法令、技術及業務之最新狀況，確保資訊安全實務作業確實遵守政策，以及確保資訊安全實務作業之可行性及有效性。

第六條

架構資訊系統平台所用實體伺服器等相關設備，必需有系統地安置於有門禁管控的電腦主機房內，只有管理者與被授權的人員允許進入，其餘訪客須由上述人員陪同方可進入並須登錄。
 

第七條

伺服器、網路設備，架構上須採用備援容錯、叢集等設計，以確保系統與硬體設備的高可用性，用以儲存資料與備份的實體設備，配合磁碟陣列、備援等設計，藉以提升資料的保護與可用度；同時電腦機房系統有接 UPS 不斷電系統，避免停電造成的損害。

第八條

採取防禦措施，部署資安防禦設備，設置阻隔不同網路的防火牆和入侵偵測防禦系統，防止外部非法使用者的蓄意破壞、攻擊或篡改，以確保系統與資料的完整性。

第九條

對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員，妥適分工，分散權責，及視需要建立人員相互支援制度。

第十條

定期舉辦社交工程演練，並安排教育訓練及宣導，促使員工瞭解資訊安全的重要性，各種可能的安全風險，以提高員工資訊安全意識，促其遵守資訊安全規定。

第十一條

對離（休、停）職人員，依據人員離（休、停）職之處理程序辦理，並立即取消使用各項系統資源所有權限。

第十二條

電腦系統需有帳號和密碼管控且密碼必需定期更新，登入網域和資訊系統授權須經正式申請流程訂定帳號密碼核發、授予各級人員適當存取的權限及變更程序並留存記錄，使其登入網域或資訊系統時執行任務所必要之系統存取權限，防護未經授權的修改以保護資訊的完整性。

第十三條

資料必須依重要與機密程度不同，做不同的分級，再套用不同的權限管理，保護資訊避免受到未被授權的存取保持資訊的機密性。

第十四條

 導入多因素驗證，公司電腦均需安裝防毒軟體防護並定期更新病毒定義檔，由系統自動派送到個人電腦並設定螢幕保護程式，以強化個人電腦作業及資料安全。

第十五條

員工遠端工作或由外連回公司時，須使用公司筆電以 VPN 安全連線的方式運作。

第十六條

 公司重要資訊系統需每天執行系統備份和異地備份，並定期進行抽檢還原演練，以確保備份資料的可還原性。

第十七條

建立關鍵系統備援設施，以便發生災害或儲存媒體失效時，以確保關鍵性業務可持續運作，並盡快回復正常作業。

第十八條

公司電腦均需裝安控軟體，對於即時通訊、USB儲存裝置、手機裝置、光碟燒錄機、外部雲端硬碟、Webmail 檔案上傳均有管控。

第十九條

機密資料集中化，機密性及敏感性的資料或文件，不存放在對外開放的資訊系統中，機密性文件不以電子郵件傳送，對於機密資料的存取進行管理監控，全方位保護公司資產。

第二十條

公司有線/無線網路根據員工或訪客身分不同，做不同的分流管控。

第二十一條

強化資安防護，勿下載、勿使用來源不明的軟體及網通設備，勿開啟有疑慮的信件附件和連結不安全網站，使用合法軟體且配合進行必要的系統更新；建議所有的個人電腦應該於下班時關閉，一方面節能減碳，一方面降低存取威脅機會，以避免不必要的資安風險。

第二十二條

建立資訊設施及系統的變更管理通報機制，以免造成系統安全上的漏洞。

第二十三條

參照國家資通安全應變中心之通報規範，訂定公司資訊安全事件通報處理作業原則，進行資訊安全事件通報與處理程序(附件一)，以降低資訊安全事件造成之損害並加以記錄。

第二十四條

本公司資訊安全政策經董事會通過後施行，修正時亦同。
本政策訂立於中華民國一一二年十一月十日。