本司參考ISO 27001與NIST規範，並依據內部實際管理需求制定以下資訊安全政策：

 

 

資訊管理中心各單位均建立相關資訊資產清單，並明定擁有者，依資訊資產等級差異，執行風險評鑑作業，針對高於可接受水準之風險應進行風險管理，以有效降低風險，並持續落實各項管控措施。

相關人員錄用應進行必要之考核並簽署相關作業規定文件，異動或離職時應歸還其資訊資產、新進與現任同仁均須參與資訊安全教育訓練並以提昇資訊安全防護之認知觀念、進出資訊安全管制區域應落實相關門禁管控及物品攜出入規定。嚴禁同仁私自架設網路設備串接外部網路與公司內部網路，內外部網路均設置防火牆、及必要之安全設施保護之，重要設備應建置適當之備援或監控機制，維持其可用性。同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新，並禁止使用未經授權軟體。

 

 

 

 

 

 

 

同仁個人持有之帳號、密碼與權限應善盡保管與使用責任、管理人員應定期清查覆核，重要系統運作資料應定期備份並執行回復測試。系統開發應於初始階段考量安控機制之建置、委外開發部分應強化控管及契約資訊安全之要求，評估系統的控管要求可採取必要之控管。遇有資訊安全事件，應立即通報，並依照資訊安全事件處理說明書程序處理，避免事件擴大，並配合權責部門共同解決。日常作業應落實確認覆核機制，維持資料準確性，主管人員應督導資訊安全遵行制度落實情況，強化資訊安全認知及法令觀念。本公司定期檢視資訊安全政策，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。