1.目的

「安全、品質、服務、效益」為本公司一貫之經營理念，本政策的目的在於規範本公司資訊安全管理系統之整體運作以符合法令法規、主管機關與合約要求及國際資訊安全管理標準，透過資訊安全政策及相關之安全規範與管理辦法之執行增強本公司資訊安全及服務品質以達永續經營之目標。

2.適用範圍

所有本公司之員工、合作夥伴，若涉及資訊安全管理系統(Information Security Management System)之資產範圍者，皆有責任遵循此一政策。

3.名詞解釋與定義

3.1 資訊資產：對公司具有價值之資訊及公司在營運時，所收集、產生、運用的資料，它可以存在於任何形式，無論是有形或無形，它可以存在電腦中，或列印書寫於紙張中，甚至存在於通訊中。

3.2 資訊安全：為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀，其中包括遵循各項法令規定，如個人資料保護法、著作權法、營業秘密法、通信保障及監察法及電信等相關法令。

3.3 資訊安全政策：是一項準則、指導方針與常規，用以說明如何在公司內管理與保護資訊資產。

3.4 安全管制項目：降低安全風險所需之程序規則或單位。

4.目標

確保當資訊傳遞及使用時的完整性，可用性及機密性，以及保護本公司之資訊資產(含員工與客戶個人資料)，免於所有的威脅破壞，不論這些威脅是來自於內部或外部，蓄意或意外。

5.資訊安全政策

本公司資訊安全政策為「資訊安全人人有責」，同仁應熟悉並遵循資訊安全規範以確保本公司資訊安全。

6. 管理原則

6.1 以下所列為本公司資訊安全政策之目的，亦為資訊安全管理系統之基本原則：

6.1.1 確保本公司各項營運系統的可用性及完整性，以及各項線上服務之交易資訊不論在交易過程或交易完成後之機密性及完整性，是本公司資訊安全管理的首要目標。

6.1.2 為確保客戶資料的安全，本公司基於安全理由對於工作職務作適當區隔，並僅授予完成工作所需之必要權限與必要資訊。

6.1.3 個人資料保護法、著作權法、營業秘密法、通信保障及監察法及電信相關法令為本公司必須遵循之重要法令，必須落實於本公司每一個作業層面及每一員工的工作意識。

6.1.4 對於本公司所面臨之資訊風險，必須進行有系統的風險評估。風險評估須將法律責任及業務營運一併列入資訊安全的考量。

6.1.5 資訊風險管理必須以風險評估之結果作為決策之依據，並兼顧其成本效益。

6.1.6 對於維持各部門運作所需之重要資訊資產， 亦須予以適切之保護。

6.1.7 對於資訊系統之新增及改變須進行安全驗證，以確認其設計不違背本公司資訊安全之要求，並經適當層級的人員核准後方可上線。

6.1.8 對於客戶資訊服務之持續營運，必須制定應變計畫，並適時演練以維持其有效性。

6.1.9 對於資訊安全政策及相關規定的遵循，各部門主管負有行政監督之職責，須確保資訊安全政策能在該部門確實執行。

6.1.10 本公司必須建立適當的管理機制，對於資訊安全的控制方法執行必要的技術性檢查、對於資訊安全事件進行通報及處置、以及對於資訊安全管理系統進行稽核與審查。

6.1.11 為維持服務品質，對於供應商應有必要的資格評估和績效評鑑。

6.1.12 對於軟體套件的變更需求,不鼓勵自行修改,應向原廠提出變更支援與授權。

6.1.13 對於個別系統的安全管理及特定議題的安全管理，應視需要而發展相關之管理辦法或作業標準加以規範。

6.1.14 應密切注意評估可能影響到本公司的國內與國外資訊安全規範與需求，預為因應。

6.2 相關主管機關與合約要求、溝通方式等請見「TV-ISMS-01-01-內外單位需求與溝通表」以確切掌握與瞭解其資安需求。

6.3 本公司制訂之政策落實衡量指標、相關負責單位、所需資源等請見「TV-ISMS-01-01-02-資安衡量指標與管制表」以確切掌握衡量指標之實作。

7.管理辦法

7.1 資訊安全責任及組織

7.1.1 本公司於總經理之下設立資訊安全暨個人資料保護管理委員會 (以下稱委員會)，由總經理指派該委員會成員，委員會負責資訊安全管理系統相關事項之計畫、審查及協調溝通。委員會下設資安長及資訊安全暨個資保護工作小組(以下稱工作小組)，資安長除協助推動委員會決議事項外，並負責對本公司資訊安全狀況進行預警、監控、依據委員會的授權對資訊安全狀況與事件進行處置、對於資訊安全管理之改善提出建議以及協助各單位執行資訊安全之自我檢核，工作小組為任務編組由資安長負責召集與協調，除平時依照專長負責推動相關資訊安全工作外，當發生資訊安全事件時，須共同處理資訊安全事件。為確保資訊安全管理系統能持續有效運作，另設置獨立之資訊安全暨個資保護稽核小組(以下稱稽核小組)，為任務編組負責資訊安全管理系統運作之內部稽核。

7.1.2 有關資訊安全組織的細部設計及權責，另訂資訊安全組織章程規定之。

7.2 資訊資產分類分級

7.2.1 本公司之資訊資產須指派其擁有者，且須依照資訊資產分類分級管理辦法維持資訊資產清冊的正確性，資訊資產之分類分級原則的變動及機密等級以上之資訊資產其分級之變動須經委員會審核，新增之重要資訊處理設施須依照'資訊設備_資訊媒體安全控制要點規定辦理。

7.2.2 資訊資產依其分級自產生到銷毀應依照其分類分級有適切且一致性的保護，對於電子檔案、儲存媒體、書面資料之管理應針對其特性制定管理辦法。對於資訊資產在其生命週期中的處理與保護及各種形式的資訊資產的管理之具體執行步驟及要求，在資訊資產分類分級辦法中加以規定。

7.3 存取控制

7.3.1 對於所有的正式員工、臨時及約聘人員、維護與服務廠商及人員應依照職務權能區分及必要之最小權限原則授予適當權限，各系統及網路管理者、資訊資產擁有者應以角色為基準進行權限管理，對於權限之申請以加入各種角色為限，禁止對個別使用者或帳號進行授權。資安長應對存取紀錄、系統事件、註冊及註銷作業及權限核准作業定期進行檢核。

7.3.2 有關存取控制之具體執行步驟及要求，另訂存取控制安全規範、帳號註冊及註銷管理辦法及密碼管理辦法規定之。

7.4 風險評估及風險管理

7.4.1 本公司須定期對於其整體之資訊風險進行風險評估及風險管理，風險評估過程須包括資訊安全管理系統範圍確認、資訊資產清點、威脅評估、弱點評估、既有控制方法確認、既有控制方法有效性評估、風險程度評估、可行控制方法建議等步驟；風險管理須包括安全保障水準設定、控制方法成本效益、業務及法律因素考量，安全保障水準的設定須考量資產價值、風險狀況、發生安全事件及違反安全規定的狀況作合理的判斷，以其所作的各項決策能與達成本公司之資訊安全管理總體績效目標相符。

7.4.2 本公司除須定期對於其整體之資訊風險進行風險評估及風險管理外，對於新增的資訊系統或對現有之資訊環境所作的改變，應比照上述原則進行風險評估及風險管理。

7.4.3 風險評估及風險管理之具體執行步驟及要求，另訂資訊安全風險評估暨風險管理辦法規定之。

7.5 實體安全

7.5.1 本公司須採取適當的門禁管制，以防止對公司之資訊資產不當存取或造成損害，對外提供服務之主機系統與網路設備及對內服務之網路伺服器均須放置於有適切門禁管制之場所。

7.5.2 非公司之人員，須由公司人員在場陪同下，方可進入公司，其進入及離開須在公司人員見證下簽署於進出記錄簿。

7.5.3 公司人員須遵守電腦螢幕保護及桌面淨空原則，存放機密資料之抽屜及櫥櫃之保管人在離開辦公場所時須將其上鎖。

7.6 網路安全

7.6.1 本公司須採取適當的網路防護措施，以防止對本公司之電腦系統不當存取或造成損害，對外提供服務之主機系統與網路設備及對內服務之網路伺服器均須有適切之之防護措施。

7.6.2 除公司之內部網路外，未經許可不得在公司使用數據機或無線網路設備，使用上述設備時須先與公司之內部網路中斷實體之連結。

7.6.3 對於開放之服務項目之安全注意事項應加以明文規定，上述的可使用網路服務及安全注意事項應定期更新並指定專人維護。

7.7 系統發展

7.7.1 本公司對於資訊系統之新增及改變須規定所需要的安全機制，進行安全驗證確認其設計滿足本公司資訊安全之要求，並經適當層級的人員核准後上線。

7.7.2 系統發展須於測試環境進行，測試環境應與線上環境隔離，測試資料須有適當的管制措施。

7.8 病毒及惡意軟體之防護

7.8.1 本公司之電腦系統須安裝防毒軟體，公司人員須遵守公司規定使用防毒軟體，並須依照規定更新防毒系統之功能。為測試目的所進行之軟體安裝，應於隔離之測試系統上進行。

7.8.2 公司人員須遵守著作權法之規定，除了公司所核准之系統及應用軟體外，禁止使用其它軟體，違反著作權法規定之個人，除須負擔相關之法律責任外，並須依照相關人事規定加以懲處，單位主管及資安長應定期查核公司所屬電腦系統是否合於規定。

7.9 認知與訓練

7.9.1 本公司所有人員有義務接受與職務相關之資訊安全教育訓練，管理單位亦有責任提供相關人員足夠之訓練以滿足職務上之要求。

7.9.2 資訊安全認知與訓練及勝任度管理之具體執行步驟及要求，另訂資訊安全人員資格暨教育訓練管理辦法規定之。

7.10 網路及電腦使用

本公司人員使用網路及電腦系統須遵守公司網路及電腦使用守則，對於違反規定及造成資訊安全事件之人員，簽報人事單位依情節嚴重程度及其動機予以懲處。

7.11 資訊安全事件通報及處理

7.11.1 舉凡對於部門及公司之資訊資產之機密性、完整性、可用性造成損害、有損害之虞及違反資訊安全規定之事件，本公司人員在發現時須立即通報，相關人員須立即依照程序進行狀況研判損害途徑、損害程度及可能影響範圍、損害控制方法、證據保全及收集、協調通報、原因分析、改善對策及系統復原等措施，所有所採取之行動及所作之研判必須加以記錄，事後須提出完整之報告。

7.11.2 有關事件資訊安全事件通報及處理之具體執行步驟及要求，另訂資訊安全事件處理辦法規定之。

7.12 業務持續營運管理

7.12.1 本公司對於各項資料須有適當的備份，並制定各項資料的備份及復原計畫。

7.12.2 本公司須依照業務衝擊分析之結果制定業務持續營運計畫，並須對所定之計畫進行測試及評估， 計畫中所有人員須熟悉在該計畫中所負責之工作內容及執行步驟。

7.13 資訊安全管理自主檢查與稽核

本公司各部門須定期對資訊安全管理系統在該部門內的實際運作進行自主檢查，自主檢查為各單位之職責，自主檢查之結果須由各單位主管及資訊安全主管共同複核，稽核小組依照資訊安全管理稽核辦法對資訊安全管理的符合性及自主檢查的有效性執行稽核，對於稽核人員資格、稽核計畫、稽核報告及改善行動另訂資訊安全管理稽核辦法規定之，稽核人員可由外部公正第三者擔任。

7.14 資訊安全管理審查

7.14.1 本公司之委員會須對公司內部資訊安全管理相關事項之審查、溝通、提案、討論及決議舉行資訊安全管理審查會議。管理審查須對資訊安全管理系統之政策、目標、程序及標準之適切性、有效性及可能需要的變更定期加以審查，對於風險評估結果、資訊安全管理系統內部稽核總結報告、資訊安全監控及管理績效的相關報告、資訊安全事件及違反資訊安全規定之處置及調查報告必須適時加以審查。

7.14.2 資訊安全管理審查須有審查紀錄，對於審查之決議事項須明確陳述，管理審查之具體步驟及要求另定資訊安全管理審查辦法規定之。

7.15 供應商管理

7.15.1 本公司的供應商需經過必要的資格評估、驗收程序和績效評鑑以確認供應商的能力符合採購的條件。

7.15.2 有關供應商之資格評估和績效評鑑具體執行步驟及要求，另訂供應商管理辦法規定之。

7.16 雲端服務管理

7.16.1 本政策的目的亦規範本公司關貿雲服務之設計、建置及服務等之整體運作，符合法規、主管機關、合約及國際標準等之要求，以提升服務品質及達永續經營之目標。

7.16.2 針對雲端服務之內部授權人員，應做好妥善之風險管理。

7.16.3 針對雲端服務，供應商與客戶之間、客戶彼此之間，應妥善區隔。

7.16.4 雲端服務之存取控制，其權責應做完善之規定與管理。

7.16.5 當雲端服務之相關管理及規定有變動影響雲端服務時，應通知客戶。

7.16.6 針對雲端服務之客戶資料，應予以妥善保存。

7.16.7 針對雲端服務之客戶，應做好服務之生命週期管理。

7.16.8 當雲端服務有重大事件發生時，應有明確之調查及處理程序，並通知主管機關及受影響之利害相關方。

7.16.9 雲端服務之作業過程涉及個人資料處理或管理者，應負個人資料保護之責任。

7.16.10 雲端服務之個人資料保護要求，應遵守個人資料保護法之要求，並於合約中述明。

7.17 承包專案資訊安全需求管理

資訊安全需求種類繁多，也因專案特性而各異，為滿足專案需求與維持本公司自身資訊安全需求，應遵循以下:

7.17.1 承包專案已訂定之資訊安全需求，應遵循其相關規定辦理。

7.17.2 承包專案未訂定之資訊安全需求，若本公司已建立規範，則可參考本公司規範訂定於承包專案範圍內辦理。

7.17.3 承包專案未訂定之資訊安全需求且本公司未建立規範，承包專案應與承包業主討論所需之資訊安全需求並訂定於承包專案範圍內辦理。

7.18 遵循

本公司人員須遵守公司資訊安全政策之規定及相關法令之規範，特別對於智慧財產權、個人資料保護法及營業秘密保護法的規定之遵守須簽具切結書。

對於違反本政策中資訊資產分類分級、實體安全、存取控管、系統發展、病毒及惡意軟體防護、網路及電腦使用及資訊安全事件通報及處理等相關規定之個人，視情節重大程度依相關人事規章議處，對於違反法令之個人依相關法令辦理，發生上述情節之個人所屬部門主管負有行政督導之連帶責任。

7.19 獎勵與懲處

7.19.1 對於資訊安全規定、管理制度或防範資訊安全事故，提出具體改進方案經採納執行有重大成效之個人，依「CW-107從業人員奬懲辦法」給予相應之獎勵。

7.19.2 對於 違反本政策中資訊資產分類分級、實體安全、存取控管、系統發展、病毒及惡意軟體防護、網路及電腦使用及資訊安全事件通報及處理等相關規定之個人，視情節重大程度依「CW-107從業人員奬懲辦法」議處，對於違反法令之個人依相關法令辦理，發生上述情節之個人所屬部門主管負有行政督導之連帶責任。