資訊安全政策

為確保台灣經濟新報文化事業股份有限公司(以下簡稱「本公司」)所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本公司之業務需求,訂定本政策。 

一、 適用範圍

本公司員工、接觸本公司業務資料之外機關、個人、委外服務廠商及第三方使用者等均應遵守本資訊安全政策。 

二、 資訊安全目標

為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全,期藉由本政策之實施以達成下列目標: 

  1. 保護本公司業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。 
  2. 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。 
  3. 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。 
  4. 確保本公司各項業務服務之執行須符合相關法令或法規之要求。

為評量資訊安全目標達成情形,特訂定資訊安全管理指標並定期實施量測,以驗證制度落實之有效性。 

三、 責任

  1. 管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。 
  2. 本公司應成立資訊安全組織統籌資訊安全事項推動。 
  3. 重要之資訊資產應定期清查、分類分級與進行風險評鑑,並據以實施適當的防護措施。  
  4. 重要資訊設施之存取權限應予以區分,且考量人員職務授予相關權限,必要時得採行加解密及身分鑑別機制,以加強資訊資產之安全。  
  5. 相關人員應依規定接受資訊安全教育訓練與宣導,以加強資訊安全認知。 
  6. 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統、業務的持續運作。  
  7. 應訂定資訊安全營運持續計畫並定期演練,以確保重要系統、業務於災害發生時能於預定時間內恢復作業。  
  8. 定期執行資訊安全稽核作業,檢視存取權限及資訊安全管理制度之落實。  
  9. 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。 
  10. 本政策每年至少評估一次,依業務變動、技術發展及風險評鑑的結果修訂。 

四、 利害相關團體之需求與期望 

本公司資訊安全管理制度之決議事項,應納入資訊安全委員會管理審查會議報告,且會議紀錄於必要時將提報主管機關。資訊安全委員會、主管機關(或法令、法規要求)、或專家學者等利害關係人如有資訊安全相關回饋事項,應將其列入管理審查會議之討論議題。 

五、 審查

本政策應每年經資訊安全委員會至少審查乙次,以反映政府法令、技術及業務等最新發展情況,確保本公司業務永續運作之能力。 

六、 實施

本政策經董事會核定後實施,修訂時亦同。