資訊安全暨個資保護政策

資訊安全暨個資保護政策

一、目的

依據「國際標準 ISO 27001/ISO 27701」及「個人資料保護法」等相關法令與規定,並衡酌本集團之業務需求建立采鋐健康整合集團(包含采鋐整合行銷公司、采照策略顧問公司、采曜生醫科技公司、采風國際健康行銷公司及安捷創生醫融公司,以下簡稱「本集團」)資訊安全暨個資保護政策,以強化資訊安全管理及保障個人資料當事人權利,建構資訊資產與個人資料保護及法規遵循制度,並確保本集團資訊資產之機密性、完整性、可用性符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

 

二、依據

ISO 27001 A5 控制項及 ISO 27701 本文。

 

三、範圍

本政策適用於本集團全體同仁(係指員工、約聘僱人員、工讀生)、委外人員(單位),以及所有相關資訊資產之安全管理。

 

四、名詞定義

資訊安全之本質大致可歸為以下3類:

  • 機密性 - Confidentiality:

確保只有經授權的人才可以存取資訊。

  • 完整性 - Integrity:

確保資訊與處理方法的正確性與完整性。

  • 可用性 - Availability:

確保經授權的使用者在需要時可以取得資訊及相關服務。

五、管理權責

  • 本集團資安暨個資委員會負責本政策之審核。
  • 本集團資安暨個資小組負責本政策之研擬修訂。

 

六、流程圖

七、使用系統或工具

Outlook、Gmail、文書處理軟體及企業資源專案管理系統等。

八、作業要點

九、資訊安全目標

  • 資訊安全是本集團達成法定任務的要素之一。本集團需維護高度之資訊安全等級,以確保資訊資產的機密性、完整性、可用性。
  • 維護本集團作業環境資訊安全之一致性,並兼顧資訊安全與資訊分享。
  • 各項資訊安全管理規定,須符合政府資訊安全相關法令、規定與政策要求。
  • 所有資訊作業相關措施,須確保本集團資訊之安全,防止敏感性與機密性資料外洩或遺失。
  • 適當保護資訊資產(含軟體、硬體、網路通訊設施及資料庫等),採行合宜之備援回復設施及作業,防止未經授權或因作業疏忽對資訊資產所造成之損害,並定期演練前項備援回復作業。
  • 本集團所執行之專案,應有適當之資訊安全管理措施,以確保相關資訊受到適當保護。
  • 定期實施資訊安全教育訓練,加強資訊安全政策宣導。

十、個人資料管理目標

  • 確保本集團符合我國個人資料保護之各項法律及函令等要求。
  • 規劃並提供個人資料檔案適當之安全措施,以確保本集團得以盡良善管理之注意義務。
  • 對個人資料之蒐集、處理及利用過程,當以誠實及信用方法為之,不逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
  • 確保個人資料的正確性,並於必要時進行更新。
  • 保障個人資料當事人之人格權,提供其個人資料的合法自主權。
  • 僅基於合法目的蒐集最少且必要之個人資料,不會處理多餘的個人資料。
  • 本集團所執行之專案,應有適當之個人資料保護措施,以確保相關個資受到適當保護。
  • 定期實施個人資料保護教育訓練,加強個人資料管理政策宣導。

 

十一、資訊安全管理指標

本集團將依業務性質,從機密性、完整性、可用性、隱私性及合法性等方面考量,經集團總經理或其授權人員核可,制訂其資訊安全暨個資保護有效性量測表,利用量化指標之管理落實本政策。

十二、資訊安全及個人資料保護責任

    • 資訊安全及個人資料保護是本集團全體同仁的責任,應共同維護之。
    • 為推動與執行資訊安全及個人資料管理制度,應成立資安暨個資委員會,由公司總經理擔任召集人。
    • 管理階層應支持資訊安全及個人資料管理制度,並積極參與資訊安全及個人資料管理制度活動。
    • 本集團應以符合個人資料保護法及主管機關規範之原則,建立完善之個人資料保護制度,確保業務範圍內個人資料均妥善管理,以維護本集團之聲譽。
    • 本集團同仁於發現資訊安全事件、個人資料外洩事件或資訊安全弱點時,應依本集團資安事件通報機制即時提報。
    • 本集團於業務範圍內有關個人資料之蒐集、處理及利用之作業流程,應防止個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他不合理及違法之利用,並善盡善良管理人之注意責任,以建立民眾信任基礎並維護民眾權益。
    • 本集團於業務範圍內蒐集個人資料時,應提供清楚訊息給予自然人(包含兒童),包含個人資料利用的方式及利用的對象。
    • 各單位及人員如違反本政策,或發生危及本集團資訊安全、個人資料管理之行為,都將按其危害程度,依本集團人事管理要點規定予以懲處或採行法律行動。
    • 本集團委外人員(單位)應簽署保密協議或個人資料保密協議,並遵守本政策以及相關程序之規定,未經授權不得使用本集團之各類資訊資產及個人資料。但委外事務與資訊安全或個人資料保護無關者,不在此限。

 

十三、資訊安全政策之例外管理

針對特定作業控制之需要,惟基於法律遵循、技術能力與成本效益之考量,須例外管理者,經依分層負責之申請與核准程序,得豁免於資訊安全政策外,以保持資訊安全管理機制之彈性與完整性。

十四、資訊安全暨個資保護政策之公告

本政策應每年配合政府法令、環境、業務與技術之變動評估檢討,其修正應經集團總經理核定後公告實施。

十五、申明

本辦法於呈請總經理核准後,自公布日起實施,修正及廢止時亦同。

十六、相關文件