為使鼎謙國際資訊股份有限公司(以下簡稱「本公司」)能貫徹執行、有效運作、監督管理、持續進行,維護本公司資訊及通訊系統(以下簡稱「資通系統」)之安全,維護資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特訂定本資通安全政策聲明,作為本單位執行資通安全管理之依據。本政策為高階指導原則,所有同仁、委外廠商皆有義務積極參與推動資通安全管理政策,以確保所有資訊系統安全維運,並期許所有人均能了解、實施與維持,以達資訊持續營運配合本公司業務遂行的目標。
本政策旨在建構一個安全且穩定的資通環境,以防止內部與外部之各類威脅,保障業務持續運作,並符合法規遵循與ISMS管理要求。
本政策適用於本單位全體人員(含正式員工、約聘人員、實習生、外包人員等)、資訊資產、作業流程、系統應用、網路設施及所有與資訊處理相關之設施與資源。
1.落實資通安全,強化服務品質 :
貫徹執行ISMS,所有資訊作業相關措施,應確保資料之機密性、完整性及可用性,免於因相關資訊安全威脅遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度進行監控、審查及稽核資訊安全管理制度的工作,以完善的資通安全強化服務品質,提升服務水準。
2.加強資安訓練,符合法令要求規範 :
加強資安訓練,督導全體同仁落實資通安全管理,持續進行適當的資通安全教育訓練,建立「資通安全,人人有責」的觀念,促使同仁瞭解資通安全相關法令要求之重要性,進而遵守法令及規定,藉此提高資通安全認知及能力,降低資通安全風險,達成資通安全管理法及個人資料保護法等相關法令要求事項。
3.規劃持續營運,迅速完成災害復原 :
訂定關鍵性業務核心資通系統之緊急應變計畫及災害復原計畫,每項核心資通系統每兩年必須至少執行一次緊急應變流程演練,以確保資通系統失效或重大災害事件發生時,能迅速復原,保持關鍵性核心資通系統持續運作,達成本公司主要業務順利執行。
4.事件通報與應變,保障服務不中斷:
建立資安事件通報機制,建立一套標準化且有效率的處理機制,當資訊安全事件發生時,能迅速通報、正確分級、即時應對與調查,降低對機關或組織營運、資訊資產與聲譽的衝擊。透過明確的通報流程、責任分工與應變處理,能提升事件掌控能力,避免事件擴大或重演。此外,配合教育訓練與定期演練,可強化人員應變能力與資安意識,並確保法規遵循,保障資訊系統穩定與服務不中斷。
5.嚴謹法規遵循,建立組織標準規範:
依循國際標準 ISO/IEC 27001,強調透過制度化管理資訊安全風險。根據標準要求遵循適用的法規、契約與規範,包括個人資料保護法、資通安全管理法、智慧財產權法等。透過定期盤點、評估與落實相關法規義務,確保組織在營運過程中符合法令要求,有效降低法律風險並強化資訊安全治理。
6.合理利用個資、防範個人資料外洩 :
對個人資料進行分類和評估,以確定保護的需求和措施。建立存取控制機制,於個資傳輸及共享方面採用加密與安全措施,定期評估受託者的遵守能力,並與委外廠商簽訂合約和協議以確保個資安全。強化員工教育訓練,增強個資保護意識。建立監控和審查機制,持續監視個資的使用、存取和傳輸,並及時檢測和應對異常活動或安全事件。
1.本單位資安長/資訊安全主管:
資訊安全管理系統的最高主管,對整體資安策略負最終責任。需確保組織制定明確的資訊安全政策與目標,並與組織營運策略一致。資安長應掌握資安風險全貌,定期進行管理審查與資源盤點,確保制度持續符合ISO/IEC 27001標準及相關法規要求。也須負責對外代表組織處理資安事件、通報主管機關,並主導制度的持續改善與文化推動,確保資訊安全成為組織長期治理的一部分。
2.各部門主管與ISMS資安小組:
應配合資通安全政策落實,負責日常制度運作、風險管理、資安事件應變、教育訓練與內部稽核等工作。應建立資安管理程序、進行資訊資產盤點與風險評估,並提出風險處置計畫與控制措施,確保資訊資產受到適當保護。當資安事件發生時,小組負責事件調查、分析、處理與後續通報,必要時啟動應變與災難復原程序。亦應規劃教育訓練與演練活動,提升組織整體資安意識與防護能力,並針對內外部稽核結果提出改進對策。並確保所屬人員遵循相關規範。
3.全體人員與協作廠商:
本公司全體員工需確實遵守組織所訂定的資訊安全政策、標準作業程序與相關規範。每位員工都應對所使用的帳號、密碼與資訊設備負責,避免未經授權的存取或洩漏行為。當發現異常或資安疑慮時,員工有義務主動通報資安單位,並配合調查與應變作業。此外,員工應定期參與資安教育訓練與社交工程演練,強化自身防範意識,確保資訊安全成為日常工作的一部分,共同維護組織整體資安環境。
為確保資訊安全管理系統(ISMS)政策持續適用且有效,應定期進行政策修訂與檢查。檢查內容包含政策是否符合最新的法規要求(如ISO/IEC 27001、資通安全管理法)、組織結構變動、業務流程調整、風險評估結果與資安事件經驗等。政策應至少每年檢視一次,或在重大事件發生、內外部稽核建議後即時修訂。藉由系統性檢查與更新,確保政策具時效性與可執行性,支持ISMS持續改善與運作有效。