資通安全暨個資保護政策

113 年 12 月 01 日修訂 版本 v2.0

壹、目的

為確保三思資訊股份有限公司(以下簡稱「本公司」)所屬之資訊資產的機密性、完整性及可用性，以符合資通安全管理法及其子法等相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並落實個人資料之保護及管理並符合「個人資料保護法」之要求，特訂定本政策。

貮、適用範圍

1. 本政策適用範圍為本公司之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等相關之系統及個人資料處理作業。
2. 資通安全管理範疇涵蓋組織、人員、實體及技術等4大領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司造成各種可能之風險。

參、目標

本公司資通安全暨個資保護政策為「有效運用資源，提升資訊資產之機密性、完整性與可用性，並確保個人資料之安全性」。期藉本政策之實施，達成下列目標：

1. 建立安全及可信賴之資訊化作業環境，確保本公司資料、系統、設備及網路之安全，以保障本公司業務永續運作。
2. 保護本公司業務服務之安全，確保資訊需經授權人員才可存取資訊，以維護其機密性。
3. 保護本公司業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。
4. 建立本公司業務永續運作計畫，以確保本公司資訊業務服務之持續運作。
5. 確保本公司各項業務服務之執行，須符合資通安全管理與個人資料保護相關法令規範及合作方之契約要求。
6. 為保護本公司業務相關個人資料之安全，免於因外在威脅或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失或洩漏等風險。
7. 提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。
8. 定期針對個人資料流程進行風險評鑑，鑑別可承受風險等級。

肆、責任

1. 本公司應成立「資訊安全」與「個人資料保護」組織，統籌相關安全事項推動。
2. 管理階層應積極參與及支持「資訊安全」與「個人資料保護」管理制度，並透過適當的標準和程序，落實執行本政策。
3. 本公司全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。
4. 本公司全體同仁、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制，通報資通安全事件或弱點。
5. 任何危及資通安全與個資保護之行為，將視情節輕重追究其民事、刑事責任，或依本公司之相關規定進行議處。

伍、管理指標

為確保組織資通安全管理暨個資保護目標與績效之達成，並落實資通安全管理制度之實施，訂定「資通安全暨個資保護目標達成計畫(I-2-01-03)」。

陸、個人資料之保護

1. 本公司已成立個人資料保護組織，明確定義相關人員之責任與義務。
2. 本公司已建立與實施個人資料管理制度（Personal Information Management System，以下簡稱PIMS），以確認本政策之實行；全體員工及委外廠商應遵循個人資料管理制度（PIMS）之規範與要求。
3. 本公司係以嚴密之措施及政策，保護當事人之個人資料，包括但不限於本公司之所有員工應接受個資保護、隱私權保護或資安相關之教育訓練，本公司之委外廠商或合作廠商與本公司業務合作時，均簽有保密契約，使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任，倘有違反保密義務之情事者，將受嚴格之內部懲處或嚴重之違約求償，並追究其民、刑事法律責任。
4. 本公司因營運所需取得或蒐集之包括但不限於自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料，應遵循我國個人資料保護法（以下簡稱個資法）等法令，適當、公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定，對於個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
5. 本公司所蒐集、處理之個人資料，應遵循中華民國個資法及本公司個資管理制度之規範，且個人資料之使用為本公司營運或業務所需，方可為本公司承辦同仁運用。
6. 本公司取得之個人資料，如有進行國際傳輸之必要者，應恪遵個資法第21條及相關規定且不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理；倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者，本公司將不進行國際傳輸，以維護個人資料之安全。
7. 當本公司接獲個人資料調閱或異動之需求時，應依個資法及本公司所訂之程序，於合法範圍內進行當事人之個人資料處理。

柒、管理審查

本政策應每年至少進行1次管理審查，以反映政府法令、技術及業務等最新發展情況，確保本公司業務永續運作之能力。資通安全組織、主管機關(或法令、法規要求)或專家學者等利害關係人如有資通安全及個資保護相關回饋事項，應列入管理審查會議之討論議題。

捌、實施

本政策經「資安暨個資保護管理委員會」研擬核定後實施，修訂時亦同。