友善列印 轉寄好友 字級變換

資訊安全暨個資保護政策

資訊安全暨個資保護政策

1 目的
為確保東森人身/財產保險代理人股份有限公司(以下簡稱「本公司」)所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,落實個人資料之保護及管理,並符合「個人資料保護法」之要求,特訂定本政策。 2 適用範圍 2.1 本政策適用範圍為本公司之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。 2.2 資訊安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險。 3 目標
為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全,期藉由本政策之實施以達成下列目標: 3.1 建立安全及可信賴之資訊化作業環境,確保本公司電腦資料、系統、設備及網路之安全,以保障本公司業務永續運作。 3.2 保護本公司業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。 3.3 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。 3.4 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。 3.5 確保本公司各項業務服務之執行須符合相關法令或法規之要求。 3.6 依「個人資料保護法」、「個人資料保護法施行細則」要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。 3.7 為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。 3.8 提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。 3.9 定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級。 4 責任 4.1 本公司應成立資訊安全暨個資保護組織,以統籌資訊安全暨個資保護事項推動。 4.2 管理階層應積極參與及支持資訊安全暨個資保護管理制度,並透過適當的標準和程序以實施本政策。 4.3 本公司全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。 4.4 本公司全體同仁、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制,通報資訊安全事件或弱點。 4.5 任何危及資訊安全暨個資保護之行為,將視情節輕重追究其民事、刑事責任或依本公司之相關規定進行議處。 5 管理指標
為評量資訊安全管理目標達成情形,特訂定資訊安全管理指標如下: 5.1 定量化指標 5.1.1 確保本公司資訊服務可用性之要求如下:
5.1.1.1 資訊機房維運服務達全年服務時間97%以上。
5.1.1.2 關鍵業務系統服務達全年服務時間96%以上。 5.1.2 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事,每年不得超過次數如下:
5.1.2.1 資訊機房維運服務中斷,每季不得超過1次。
5.1.2.2 關鍵業務系統服務中斷,每季不得超過1次。 5.1.3 確保因資通安全事件、異常事件、其他安全事故所造成系統、主機異常而中斷營運服務之情事,每次最長不得超過工作小時要求如下:
5.1.3.1 資訊機房維運服務中斷,每次最長不得超過4工作小時。
5.1.3.2 關鍵業務系統服務中斷,每次最長不得超過24工作小時。 5.1.4 應適當保護本公司資訊資產之機密性與完整性,每年至少需進行乙次風險評鑑及風險管理。 5.1.5 為確保本公司資訊安全措施或規範符合現行法令、法規之要求,每年至少需稽核乙次。 5.1.6 演練業務永續運作計畫每年至少需進行乙次,以確保本公司資訊業務服務得以持續運作。 5.2 定性化指標 5.2.1 應定期審查本公司資訊安全組織人員執掌,以確保資訊安全工作之推展。 5.2.2 應符合主管機關之要求,依員工職務及責任提供適當之資訊安全相關訓練。 5.2.3 應加強本公司資訊機房設施之環境安全,採取適當之保護及權限控管機制。 5.2.4 應確保資訊不因傳遞過程或無意間之行為,透漏給未經授權之第三者。 5.2.5 應加強存取控制,防止未經授權之不當存取,以確保本公司資訊資產已受適當之保護。 5.2.6 本公司資訊系統開發應考量安全需求,並定期稽核安全弱點。 5.2.7 應確保所有資訊安全事件或可疑之安全弱點,均依循適當之通報機制向上反應,並予以適當調查及處理。 6 個人資料之保護 6.1.1 本公司已成立個人資料保護組織,明確定義相關人員之責任與義務。 6.1.2 本公司已建立與實施個人資料管理制度(Personal Information Management System,以下簡稱PIMS),以確認本政策之實行;全體員工及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求。 6.1.3 本公司係以嚴密之措施、政策保護當事人之個人資料,包括但不限於本公司之所有員工,應接受個資保護、或隱私權保護或資安相關之教育訓練,本公司之委外廠商或合作廠商與本公司業務合作時,均簽有保密契約,使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任,倘有違反保密義務之情事者,將受嚴格之內部懲處或嚴重之違約求償,並追究其民、刑事法律責任。 6.1.4 本公司因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國個人資料保護法(以下簡稱個資法)等法令,適當、公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定,對於個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。 6.1.5 本公司所蒐集、處理之個人資料,應遵循我國個資法及本公司個資管理制度之規範,且個人資料之使用為本公司營運或業務所需,方可為本公司承辦同仁利用。 6.1.6 本公司取得之個人資料,如有進行國際傳輸之必要者,謹遵個資法第21條及相關規定且不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理。倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本公司將不進行國際傳輸,以維護個人資料之安全。 6.1.7 當本公司接獲個人資料調閱或異動之需求時,應依個資法及本公司所訂之程序,於合法範圍內進行當事人之個人資料。