一、目的
堃翊工程有限公司(以下簡稱「本公司」)為確保資訊資產之機密性、完整性、可用性及各項作業之適法性,並避免遭受內、外部蓄意或意外之威脅,爰衡酌本公司之業務需求,訂定本資訊安全政策(以下簡稱「本政策」)。
二、適用範圍
本政策適用於本公司全體人員,包含但不限於正職人員、約聘人員、兼職人員、派遣人員、實習人員及其他受本公司指揮監督或代表本公司執行業務之人員。
與本公司有業務往來之供應商、委外廠商、合作夥伴、訪客及其他外部利害相關方,於存取、處理、保存、傳輸或使用本公司資訊資產時,亦應遵循本政策及相關資訊安全要求。
三、資訊安全目標
本公司之資訊安全目標如下:
- 機密性確保本公司資訊資產之機密性,防止資訊資產遭非授權存取。
- 完整性確保本公司資訊資產之完整性,防止資訊資產未經授權異動或內容不正確。
- 可用性確保本公司資訊資產之可用性,並維持依賴資訊系統之業務持續運作。
- 適法性確保本公司資訊作業均符合相關法令規定與合約要求。
前述資訊安全目標每年至少審查一次,以符合相關法令規定、合約要求及資訊業務發展現況,並於必要時予以調整修正。
為確保資訊安全目標之達成,本公司應建立資訊安全指標,作為監督、量測、分析及評估資訊安全績效與資訊安全管理制度有效性之依據。資訊安全指標之訂定、量測、分析、審查及改善作業,依本公司《SR-003_資訊安全指標管理辦法》辦理。
四、資訊安全管理原則
本公司為落實資訊安全政策,應依據營運需求、資訊安全風險評鑑結果、法令合約要求及利害相關方期望,建立並維持適當之資訊安全管理原則如下:
資訊安全治理與責任
本公司應建立資訊安全管理組織,明確分派資訊安全相關角色、責任與權限,並由管理階層督導資訊安全管理制度之建立、實施、維持與持續改善。
風險管理與控制措施
本公司應定期鑑別資訊安全相關內外部議題、利害相關方要求、資訊資產、威脅、弱點與風險,並依據風險評鑑結果選擇適當之風險處理方式及資訊安全控制措施。
資產管理與資訊分類
本公司應建立並維護資訊資產清冊,依資訊之機密性、完整性、可用性及相關要求進行分類與標示,並訂定資訊資產之使用、保存、傳輸、刪除與處置要求。
存取控制與身分驗證
本公司應依業務需求、職務責任及最小權限原則,管理使用者身分、驗證資訊、存取權限及特權帳號,並定期審查及調整相關權限。
人員安全與意識訓練
本公司應使全體人員瞭解其資訊安全責任,並透過到職宣導、教育訓練、保密約定、事件通報機制及違規處理程序,降低人員因素所造成之資訊安全風險。
供應商與雲端服務安全
本公司應針對供應商、委外服務、雲端服務及其他外部提供之流程、產品或服務,依其對資訊安全之影響程度進行評估、約定、監督與審查。
實體與環境安全
本公司應對辦公場所、機房、設備、儲存媒體及其他實體資產採取適當保護措施,以防止未經授權之實體存取、損壞、遺失、竊取或營運中斷。
系統、網路與端點安全
本公司應對資訊系統、網路、端點設備、軟體、服務與組態採取適當安全管理措施,包含惡意程式防護、弱點管理、安全組態、備份、日誌、監視、加密及網路安全管理。
開發、變更與專案安全
本公司於資訊系統或軟體之取得、開發、維護、變更、測試及上線過程中,應納入資訊安全需求、風險評估、權責分工、測試驗證及變更管理要求。
紀錄、監視與事件管理
本公司應建立資訊安全事件通報、評估、應變、證據保存及事後改善機制,並對必要之系統、網路與應用程式活動進行紀錄、保護、分析與監視。
營運持續與備援
本公司應依業務持續需求,規劃、實施、維持及測試資訊作業持續營運、備份、備援及 ICT 備妥性措施,以於營運中斷時維持適當之資訊安全與服務能力。
法遵、隱私與持續改善
本公司應鑑別並遵循適用之法令、主管機關要求、契約義務、智慧財產權、隱私與個人資料保護要求,並透過監督量測、內部查核、管理審查及矯正措施,持續改善資訊安全管理制度。
五、政策發布、溝通與審查
- 本政策應以文件化資訊方式保存,並透過內部公告、教育訓練、到職宣導或其他適當方式傳達予本公司全體人員;本公司得透過教育訓練紀錄、政策宣導紀錄、簽署確認、電子公告確認或其他適當方式,保存相關人員知悉並遵循本政策之證據。
- 對於與本公司資訊安全管理制度相關之外部利害相關方,得依業務、契約或法令要求,以適當方式提供本政策或其摘要內容。
- 本政策應至少每年審查一次;當本公司營運模式、組織架構、資訊技術、法令合約要求、風險環境或資訊安全管理制度發生重大變更時,應視需要重新審查及修訂。
六、核決層級
版本資訊
| 版次 | 修訂日 | 修訂者 | 說明 | 核准者 |
|---|---|---|---|---|
| 1.0 | 2026/03/01 | 資訊安全執行暨緊急處理分組 | 新增 | 管理代表 |