目的

本公司資通安全政策制定的目的，在提供可資依循之組織資通安全指導大綱及方向，明確定義本公司資通安全管理之目標，並作為本公司各事業部規範所管轄業務安全責任之指導原則。強化資通安全管理，確保資訊資料、系統、設備及網路通訊之安全，以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資通資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險。並符合資通安全管理制度(ISMS)要求，確保資通資產之機密性、完整性與可用性。
1.  機密性：確保被授權之人員方可合理的使用資訊，以防止資訊被不當揭露。
2.  完整性：確保資訊不受未經授權的竄改與資訊處理方法及結果的正確性。
3.  可用性：確保經授權的使用者，在需要時可以取得資訊，並使用相關資產。

依據

ISO/IEC 27001:2013 (Information technology - Security techniques – Information security management systems - Requirements)

適用範圍

本公司SMILE和ERP核心業務之應用資訊系統維運與管理活動，包含系統管理、 機房管理以及網路基礎設施管理。

資通安全政策

「歸零事故，快速回復」
藉由人員的教育訓練、系統的監控、檢查和更新達到歸零事故，並定時演練及建立相
關SOP以達快速回復之效，以建立「歸零事故，快速回復」之觀念，確保資料處理
之機密性、完整性及可用性。

目的資通安全管理目標與內容

1.    本公司各部門執行業務時必須遵守政府相關法規(如：專利法、著作權法、
     個人資料保護法、個人資料保護法施行細則等)之規定。
2.    設置資通安全管理委員會，負責本公司資通安全管理系統之建立及推動事宜。
3.    建立組織全景評鑑機制，以界定資通安全的方針與資通安全管理系統的實施範圍，並了解組織全景及關注方的需要與期望。
4.    訂定文件控管作業規定，以律定資通安全制度相關文件之制定、修改、編碼、發行等管理原則。
5.    建立資通資產之管理機制，以統籌分配、有效運用有限資源，解決關鍵安全問題。
6.    建立風險評鑑管理辦法並識別出各類資產的風險，以採取適當之風險處理措施，加以管控、降低風險至可接受之程度。
7.    定期實施業務相關之資通安全教育訓練，宣導資通安全政策及相關實施規定。
8.    建立機房實體及環境安全防護措施，並定期施以相關保養維護。
9.    明確規範資通系統、網路服務、敏感資訊之使用權限，防止未經授權之存取行為。
10.    建立資通系統獲取、開發及維護作業流程，明確規範系統於開發及委外相關遵循之依據，且資通系統或服務應於建置或推出前，應將資通安全相關議題納入，以防範危害系統安全之情況發生。
11.    訂定及執行資通安全內部稽核活動，以落實資通安全管理制度，針對未盡事項執行矯正措施。
12.    訂定資通安全之營運持續計畫並實際演練，確保本公司遭受突發事故時業務得以持續運作。
13.    本公司所有人員皆負有維持資通安全之責任，且應瞭解及遵守相關之資通安全管理規定，並於工作職責中落實。

修訂與公告

本政策由「資通安全管理委員會」每年定期審議，另組織、業務、法令或實體環境等因素之變迭時，予以適當修訂。本政策經「資通安全管理委員會」主任委員核定後公布施行，修正時亦同。