資訊安全政策

為確保台灣經濟新報文化事業股份有限公司(以下簡稱「本公司」)所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本公司之業務需求，訂定本政策。 

一、 適用範圍

本公司員工、接觸本公司業務資料之外機關、個人、委外服務廠商及第三方使用者等均應遵守本資訊安全政策。 

二、 資訊安全目標

為維護本公司資訊資產之機密性、完整性與可用性，並保障使用者資料隱私之安全，期藉由本政策之實施以達成下列目標： 

1. 保護本公司業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。 
2. 保護本公司業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。 
3. 建立本公司業務永續運作計畫，以確保本公司資訊業務服務之持續運作。 
4. 確保本公司各項業務服務之執行須符合相關法令或法規之要求。

為評量資訊安全目標達成情形，特訂定資訊安全管理指標並定期實施量測，以驗證制度落實之有效性。 

三、 責任

1. 管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。 
2. 本公司應成立資訊安全組織統籌資訊安全事項推動。 
3. 重要之資訊資產應定期清查、分類分級與進行風險評鑑，並據以實施適當的防護措施。  
4. 重要資訊設施之存取權限應予以區分，且考量人員職務授予相關權限，必要時得採行加解密及身分鑑別機制，以加強資訊資產之安全。  
5. 相關人員應依規定接受資訊安全教育訓練與宣導，以加強資訊安全認知。 
6. 對於資訊安全事件須有完整的通報及應變措施，以確保資訊系統、業務的持續運作。  
7. 應訂定資訊安全營運持續計畫並定期演練，以確保重要系統、業務於災害發生時能於預定時間內恢復作業。  
8. 定期執行資訊安全稽核作業，檢視存取權限及資訊安全管理制度之落實。  
9. 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。 
10. 本政策每年至少評估一次，依業務變動、技術發展及風險評鑑的結果修訂。 

四、 利害相關團體之需求與期望 

本公司資訊安全管理制度之決議事項，應納入資訊安全委員會管理審查會議報告，且會議紀錄於必要時將提報主管機關。資訊安全委員會、主管機關(或法令、法規要求)、或專家學者等利害關係人如有資訊安全相關回饋事項，應將其列入管理審查會議之討論議題。 

五、 審查

本政策應每年經資訊安全委員會至少審查乙次，以反映政府法令、技術及業務等最新發展情況，確保本公司業務永續運作之能力。 

六、 實施

本政策經董事會核定後實施，修訂時亦同。