安全政策宣告

以下網頁安全政策，適用於您在網頁瀏覽時，所涉及的個人資料蒐集、運用與保護，但不適用於本網頁連外之其他網站連結，當您連結至其他網站時，始適用該網站的網站安全政策。

訂定網頁存取政策及授權規定，並告知使用者相關權限及責任。 建立系統使用者登入管理紀錄，強化使用者密碼管理，限制使用者通行密碼之最長更新周期。 對系統服務廠商以遠距登入方式進行系統者，加強安全控管，規範其相關安全保密責任。建立資訊安全稽核制度，定期或不定期進行資訊安全稽核。

任何未授權、企圖竄改本網站上的各項內容的行為，都是嚴厲禁止且可能觸法。為了網頁安全的目的和確保服務持續，本網站提供了以下的安全保護措施：與外網連接之位址，設立防火牆控管內外網之資料傳輸、資源存取與存取管控。裝設次世代防毒軟體，提供使用者更安全的網頁瀏覽環境。建立系統備援設施，定期執行必要的備份及備援作業。依據各管道接收之安全維護通知，安裝適當的修補與系統更新。 網際網路資料的傳輸不能保證百分之百的安全，本網站將努力保護本網站及您個人資料的安全，使用SSL憑證，保障資料傳送的安全性。但由於資料傳輸過程同時牽涉您上網所處之環境，我們並無法確保您傳送或接收本網站資料的安全，您須注意並承擔網路資料傳輸之風險。請您諒解此部份所造成的後果均非本網站所能控制範圍。

備份資料採取對應的控制措施，其安全標準應儘可能與主要作業場所相同；主要作業場所的安控措施，應儘可能適用到備援作業場所。

網頁資料修復，除突發重大事件或外力與不確定因素外，資料應儘快修復正常，並保障備份資料能保持一定時間內之最新完整資料，資料修復後，程式及資料庫應均能立刻正常啟用運作。

本網站資安政策的修改由於科技發展的迅速，未訂定相關法規前，以及未來難以預見等潛在因素，本網站將視需要修改網頁上所提供的資安政策之說明，以落實保障網路安全的精神。當本網站完成資安政策修訂時，我們會立即將其刊登於本網站上。

如果您對以上條款有任何疑問或意見，歡迎透過本網站所示之聯絡方式與我們聯絡。

本要點所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅，並降低可能影響及危害大鈞業務運作之損害程度。 本要點所稱資訊資產係大鈞所收集、產生、運用之資料，以及為完成以上工作所需使用之相關設備。

本要點適用於大鈞各項資訊資產及其資訊使用者。

本要點及依據本要點所訂定之各項附屬規定（以下簡稱資訊安全管理制度），係參考個人資料保護法、著作權法、國家機密保護法、電子簽章法等法規及其他相關標準所訂定，資訊使用者應確實遵守，如有違反者，依相關法令辦理。

為落實大鈞資訊安全管理，於資訊治理會報下設資訊管理制度稽核小組及資訊安全工作小組，負責統籌資訊安全稽核、各項作業原則規劃、權責機關與特殊利害相關團體聯繫及專案管理之資訊安全等事宜。

為降低內部人為因素對大鈞資訊安全之影響，各單位已考量人力及工作職掌，實行分工及輪調措施。 大鈞應視需要實施資訊安全教育訓練及宣導，以提高人員對資訊安全之認知。

為保護大鈞資訊資產安全，應建立資訊資產清冊加以分類分級，並訂定相對應之管制措施。

為避免大鈞資訊資產因未授權之存取而使機密性或敏感性資料遭不當使用，應考量人員職務授予相關權限。 為確保大鈞遠距工作的使用安全，應對遠距工作存取訂定相對應之管制措施。

為使大鈞憑證申請及應用有所依據，應訂定憑證政策、憑證實務作業基準，並定期進行評估及修訂，以保護資訊的機密性、鑑別性及完整性，必要時得採行加解密及身分鑑別機制，以加強資料之安全。

為確保大鈞電腦機房維運及資訊資產使用區域之安全，應訂定實體與環境安全管理規範。為確保大鈞行動裝置及可攜式儲存媒體的使用安全，應建立行動裝置與可攜式儲存媒體管理原則。

為確保大鈞主機作業平台、資料庫與資訊處理設施被正確及安全操作，受到防範惡意碼的保護、防護資料損失及竄改、紀錄事件及產生相關證據、保護作業系統的完整並防止技術脆弱性被利用，應訂定運作安全管理規範。

為確保大鈞網路及其支援資訊處理設施上資訊之保護，並維護內部及外部單位資訊傳送之安全，應訂定通訊安全管理規範。

為確保大鈞應用系統生命週期的資訊安全控管，分析、設計、開發、測試、上線及維護各階段之資訊安全，應訂定系統獲取、開發及維護安全管理標準作業原則。

為確保供應者可存取的大鈞資訊資產受到保護，並維持資訊安全及服務交付與供應者協議一致，應訂定供應者關係安全管理要求。為提高大鈞委外作業之安全，應要求廠商簽署保密協議書，並管理專案人員及駐點人員之各項資訊資產存取權限。

為確保大鈞資訊安全事故管理（包括對安全事件及弱點之通報）有一致及有效的作法，應建立資訊安全事故通報及處理程序，並加以記錄。 大鈞應訂定資訊安全目標，並確保該目標符合本要點之目的要求。

為避免大鈞資訊資產遭受災害而影響業務永續運作，確保資訊處理設施的可用性，資訊安全持續性應做為營運持續管理之基礎，且訂定應變及復原計畫，並定期測試演練。

為落實大鈞資訊安全管理制度，強化資訊安全管理，應建立資訊安全稽核機制，由資訊管理制度稽核小組定期執行稽核。

為有效管理大鈞各項資訊資產所面臨之威脅、弱點及其衝擊程度，應辦理資訊資產風險評鑑並實行必要之風險管理。

本要點應每年檢討，以反映最新標準規範、技術及組織業務現況。 各項附屬規定由資訊安全工作小組視需要修訂，若內容涉及跨單位權責變動，應向資訊治理會報提出後辦理之。

本要點應定期宣導。

本要點經公司負責人核定後施行，修正時亦同。