資訊安全政策

為落實「守門員科技管理顧問有限公司」（以下簡稱本公司）資訊安全管理，確保資訊資產之機密性、完整性、可用性，並避免遭受內、外部之威脅，採用「規劃－落實－檢查－行動」（Plan-Do-Check-Act，PDCA）的管理模式，訂定本資訊安全政策（以下簡稱本政策）。

適用於本公司全體員工，包含正職、約聘及各類型人員，及與本公司有業務往來之廠商及其員工、訪客等，均應遵守本政策。

1. 資訊安全：保存資訊的機密性、完整性及可用性；此外，亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
2. 資訊資產：對組織有價值的任何事物，收集、產生、運用之資料以及為完成本公司業務上所需使用之相關資產，包括人員、設備、系統、資料及網路等。
3. 機密性：使資訊不可用或不揭露給未經授權之個人、個體或過程的性質，確保只有經過授權的人才能存取資訊資產。
4. 完整性：保護資產的準確度（accuracy）和完全性（completeness）的性質，確保資訊資產其處理的前、後均為真確。
5. 可用性：經授權個體因應需求之可存取及可使用的性質。

1. 成立「資訊安全推動小組」，確認資訊安全管理運作之有效性。
2. 應建立資訊資產清冊，執行風險評鑑作業，針對高於可接受水準之風險應進行風險管理，以有效降低風險，並持續落實各項管控措施。
3. 所有員工、約聘雇人員及委外廠商，凡其使用本公司資訊以提供資訊服務或執行相關工作等，皆有責任及義務保護其所取得或使用本公司之資訊資產，並通報及處理資訊安全事件和任何已鑑別出的資訊安全弱點，以防止資訊資產遭未經授權存取、擅改、破壞或不當揭露。
4. 訂定業務持續運作計畫，定期演練，並配合業務發展與組織現況持續調整更新。
5. 建立安全、可靠的資訊系統交易環境，使本公司業務得以永續經營。
6. 處理或利用客戶資料或公司機密資訊之人員，須依據所賦予之權限進行使用，不得逾越。
7. 本公司全體人員應遵守法律規範與資訊安全政策之要求，主管人員應督導資訊安全落實情況，強化同仁資訊安全認知及法令遵循概念。資訊安全是全體人員共同之責任，藉由不斷地檢討改進，確保本公司資訊安全制度更臻完善。

1. 為維護本公司相關資訊資產之機密性、完整性與可用性，藉由全體同仁共同努力來達成下列目標：

   1. 保護本公司業務活動資訊，避免未經授權的存取、修改，以確保其完整性。
   2. 確保本公司資訊資產之可用性，並維持依賴資訊系統之業務持續運作。
   3. 執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。
   4. 實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。
   5. 本公司之業務活動執行須符合相關法令或法規之要求。
2. 每年至少一次於「管理審查會議」中檢討本公司資訊安全目標的設定、實施及修正之方式是否合宜。

1. 本政策應至少每年評估審查一次，以符合政府相關法規之要求，並反映資訊科技之最新發展現況，確保資通安全管理作業之有效性。
2. 本政策須經資訊安全推動小組審查並由召集人核准，於公告日施行，並以書面、電子或其他方式通知所有員工及合作廠商或單位遵守，修正時亦同。
3. 若違反本公司資通安全相關規定，得依情節輕重予以處分或追究其民、刑事責任。