資訊安全及個人隱私保護政策公告
本公司計畫推行並取得ISO 27701個人隱私保護管理系統認證,特以其為基準制定資訊安全及個人隱私保護政策如下,供全體同仁共同遵循:
一、目的
為保護群邁通訊股份有限公司(以下簡稱本公司),產品與服務的資訊財產及客戶機密資訊,避免有未經授權之存取、修改、使用及揭露,以及天然災害所引起之損失,並適時提供完整與可用之資訊,本公司致力於資訊安全及個人隱私保護管理,確保本公司重要資訊財產之機密性、完整性及可用性,並符合相關法令法規之要求,以降低資訊安全及個人隱私保護之風險與對公司營運衝擊,進而獲得客戶信賴、達到對股東的承諾,保證公司重要業務持續運作,特定此政策規範。
二、適用範圍
-
本公司依實際需要及符合政府與相關法令要求建立資訊安全及個人隱私保護管理系統。系統適用範圍設定為本公司應用服務處、加值應用事業處、Fusion智慧 AIoT 雲平台服務與本公司涉及個人隱私資料蒐集、處理及利用的五個作業流程:遠距健康照護應用平台、遠距健康照護應用平台維運、招募流程、新人報到流程、離職流程,及其所構成之資訊安全及個人隱私保護管理系統。透過SWOT分析與利害關係對應表,充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。
-
本公司於建置資訊安全及個人隱私保護管理系統之初衷及系統執行之結果,均應將內外部單位對資訊安全及個人隱私保護方面之議題,及關注方對資訊安全及個人隱私保護管理系統之期盼與要求納入考量,並列入目標與成效評估範圍。這些資訊安全及個人隱私保護相關議題、期盼或要求,應列入風險評估及風險管理,以確保資訊安全及個人隱私保護管理系統能達成預期效果及持續改善。並於風險評鑑過程中必須要能識別風險擁有者。
-
本公司政策方針為:確保群邁通訊資訊資產的機密性、完整性、可用性並符合法規與客戶要求保證公司業務持續運作。
-
本公司應於相關部門及層級建立資訊安全及個人隱私保護目標,並可與資訊安全及個人隱私保護政策、方針對應或連結,且必須符合以下4項條件:
● 可以量測
● 成效量測方式
● 需訂定完成日期
● 需有負責人員(負責單位) -
為能有效支持高階政策之展開,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,本公司訂定之功能性政策如下,以能接續相對應之控制項目或措施:
● 確實執行存取控制管理。
● 有效執行重要資訊遮罩。
● 貫徹實體及環境安全管控,含重要區域之監控。
● 進行資訊資產管理。
● 確保資訊傳輸安全。
● 安全配置及處理使用者終端裝置。
● 執行網路安全管控。
● 網路作業,須妥予執行監視活動。
● 資訊安全事件管理。
● 個人隱私保護事故管理。
● 確實執行備份管理。
● 執行金鑰管理。
● 妥善進行資訊分類及處理。
● 定期實施技術漏洞管理。
● 執行系統開發安全管控。
● 須建立及執行雲服務資訊安全及個人隱私保護管理機制。
● 只有在絕對必要及合法的目的下,才可處理個人隱私資料。
● 只能依最低需求來蒐集個人隱私資料。
● 須公正及合法處理個人隱私資料。
● 必須建立個人隱私資料檔案管理表,並做適當維護。
● 須確保個人隱私資料之準確性,並在必要時予以更新。
● 蒐集之個人隱私資料須符合法定期限,及目的與用途。
● 確保所有個人隱私資料的機密性及安全性。
● 個人隱私資料只能在有充分的保護下,使得轉移到境外地區。
● 資訊安全及個人隱私保護管理系統需有效建立及落實執行。
● 資訊安全及個人隱私保護管理系統運作之相關人員,應明定責任與義務。
● 資訊安全及個人隱私保護處理,需建立紀錄並予以維護。
● 須確保當事人應有之權利。
三、權責
-
本公司資訊安全及個人隱私保護管理委員會之技術暨政策推行小組負責擬定此政策,並呈管理代表審查核准後實施。
-
資訊安全及個人隱私保護管理者透過適當的標準和程序以實施此政策。
-
所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全及個人隱私保護政策。
-
所有人員有責任報告資訊安全事件、個人隱私保護事故和任何已鑑別出之弱點,若因而防止可能發生之資訊安全、個人隱私保護威脅事件,得視情況予以適當獎勵。
-
任何危及資訊安全及個人隱私保護之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。
四、名詞定義
-
資訊資產:係指為維持本公司資訊業務正常運作之硬體、軟體、文件及人員。
-
業務持續運作之資訊環境:係指為維持本公司各項業務正常運作所需之電腦作業環境。
-
個人隱私資料:個人可識別資訊 (personally identifiable information, PII)、個資。
五、作業說明
維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目標:
-
保護本公司業務活動資訊,避免未經授權的存取含雲端服務之存取與控制。
-
保護本公司業務活動資訊,避免未經授權的修改,確保其正確完整。
-
確保雲服務客戶間,具備安全之隔離。
-
雲服務相關人員,於雲服務過程中不得及無法接觸客戶資產,如因作業需要,須取得客戶同意。
-
客戶及相關人員,於進入雲服務系統時,需透過身分驗證過程,以確保雲服務之資訊安全。
-
雲服務作業過程如有變更,須通知雲服務客戶,或進行必要溝通。
-
雲服務虛擬化作業,須具備雲端資訊安全及個人隱私保護之考量。
-
當客戶終止接受雲服務時,權責單位須將該客戶之所有資訊資產清除,以確保客戶權益及雲服務資訊安全及個人隱私保護。
-
當不符合事項發生或違規行為發生時,須與客戶進行必要之溝通,並視需要提供調查結果及相關資訊。
-
建立跨部門之資訊安全及個人隱私保護組織,制訂、推動、實施及評估改進資訊安全及個人隱私保護管理事項,確保本公司具備可供業務持續運作之資訊環境。
-
辦理資訊安全及個人隱私保護教育訓練,推廣員工資訊安全及個人隱私保護之意識與強化其對相關責任之認知。
-
執行資訊安全及個人隱私保護風險評估機制,提升資訊安全及個人隱私保護管理之有效性與即時性。
-
實施資訊安全及個人隱私保護內部稽核制度,確保資訊安全及個人隱私保護管理之落實執行。
-
本公司之業務活動執行須符合相關法令或法規之要求。
-
雲服務提供者及雲服務客戶,雙方應訂定資訊安全及個人隱私保護責任與規定。
-
雲服務提供者應於協議(合約)中清楚定義相關資訊安全及個人隱私保護措施,以確保雙方之間不會有任何誤解。
-
雲服務提供者應於相關文件中定義雙方間,資訊安全及個人隱私保護事件之責任歸屬。
-
雲服務提供者須針對客戶資料及雲服務功能作有效維護,並設定存取權限機制。
-
同仁皆有責任報告資訊安全事件、個人隱私保護事故或提出強化資訊安全及個人隱私保護之建議,若因而防止可能發生之資訊安全及個人隱私保護威脅事件,將視情況予以適當獎勵。同時若有從事任何危及資訊安全及個人隱私保護之行為,也將視情節輕重依本公司之相關規定進行懲處,以維護本公司資訊資產,並保障公司與客戶資料隱私與安全。
本政策由本公司資訊安全及個人隱私保護管理委員會之資訊安全技術暨政策推行小組負責擬定,並呈管理代表核定後公告實施,修訂時亦同。
公告日期 : 2025/01/23