資訊安全暨個資保護政策

一、目的

依據「國際標準ISO 27001」及「個人資料保護法」等相關法令與規定，並衡酌本集團之業務需求建立采鋐健康整合集團（包含采鋐整合行銷公司、采照策略顧問公司、采曜生醫科技公司及采風國際健康行銷公司，以下簡稱「本集團」）資訊安全暨個資保護政策，以強化資訊安全管理及保障個人資料當事人權利，建構資訊資產與個人資料保護及法規遵循制度，並確保本集團資訊資產之機密性、完整性、可用性符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。

 

二、依據

ISO 27001本文及A5控制項。

 

三、範圍

本政策適用於本集團全體同仁（係指員工、約聘僱人員、工讀生）、委外人員（單位），以及所有相關資訊資產之安全管理。

 

四、名詞定義

資訊安全之本質大致可歸為以下3類：

• 機密性 － Confidentiality：

確保只有經授權的人才可以存取資訊。

• 完整性 － Integrity：

確保資訊與處理方法的正確性與完整性。

• 可用性 － Availability：

確保經授權的使用者在需要時可以取得資訊及相關服務。

 

五、管理權責

• 本集團資安暨個資委員會負責本政策之審核。
• 本集團資安暨個資小組負責本政策之研擬修訂。

 

六、資訊安全目標

• 資訊安全是本集團達成法定任務的要素之一。本集團需維護高度之資訊安全等級， 以確保資訊資產的機密性、完整性、可用性。
• 維護本集團作業環境資訊安全之一致性，並兼顧資訊安全與資訊分享。
• 各項資訊安全管理規定，須符合政府資訊安全相關法令、規定與政策要求。
• 所有資訊作業相關措施，須確保本集團資訊之安全，防止敏感性與機密性資料外洩或遺失。
• 適當保護資訊資產（含軟體、硬體、網路通訊設施及資料庫等），採行合宜之備援回復設施及作業，防止未經授權或因作業疏忽對資訊資產所造成之損害，並定期演練前項備援回復作業。
• 本集團所執行之專案，應有適當之資訊安全管理措施，以確保相關資訊受到適當保護。
• 定期實施資訊安全教育訓練，加強資訊安全政策宣導。

 

七、個人資料管理目標

• 確保本集團符合我國個人資料保護之各項法律及函令等要求。
• 規劃並提供個人資料檔案適當之安全措施，以確保本集團得以盡良善管理之注意義務。
• 對個人資料之蒐集、處理及利用過程，當以誠實及信用方法為之，不逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
• 確保個人資料的正確性，並於必要時進行更新。
• 保障個人資料當事人之人格權，提供其個人資料的合法自主權。
• 僅基於合法目的蒐集最少且必要之個人資料，不會處理多餘的個人資料。
• 本集團所執行之專案，應有適當之個人資料保護措施，以確保相關個資受到適當保護。
• 定期實施個人資料保護教育訓練，加強個人資料管理政策宣導。

 

八、資訊安全管理指標

本集團將依業務性質，從機密性、完整性、可用性、隱私性及合法性等方面考量，經集團總經理或其授權人員核可，制訂其資訊安全管理有效性量測表，利用量化指標之管理落實本政策。

 

九、資訊安全及個人資料保護責任

• • 資訊安全及個人資料保護是本集團全體同仁的責任，應共同維護之。
  • 為推動與執行資訊安全及個人資料管理制度，應成立資安暨個資委員會，由公司總經理擔任召集人。
  • 管理階層應支持資訊安全及個人資料管理制度，並積極參與資訊安全及個人資料管理制度活動。
  • 本集團應以符合個人資料保護法及主管機關規範之原則，建立完善之個人資料保護制度，確保業務範圍內個人資料均妥善管理，以維護本集團之聲譽。
  • 本集團同仁於發現資訊安全事件、個人資料外洩事件或資訊安全弱點時，應依本集團資安事件通報機制即時提報。
  • 本集團於業務範圍內有關個人資料之蒐集、處理及利用之作業流程，應防止個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他不合理及違法之利用，並善盡善良管理人之注意責任，以建立民眾信任基礎並維護民眾權益。
  • 本集團於業務範圍內蒐集個人資料時，應提供清楚訊息給予自然人（包含兒童），包含個人資料利用的方式及利用的對象。
  • 各單位及人員如違反本政策，或發生危及本集團資訊安全、個人資料管理之行為，都將按其危害程度，依本集團人事管理要點規定予以懲處或採行法律行動。
  • 本集團委外人員（單位）應簽署保密協議或個人資料保密協議，並遵守本政策以及相關程序之規定，未經授權不得使用本集團之各類資訊資產及個人資料。但委外事務與資訊安全或個人資料保護無關者，不在此限。

 

十、資訊安全政策之例外管理

針對特定作業控制之需要，惟基於法律遵循、技術能力與成本效益之考量，須例外管理者，經依分層負責之申請與核准程序，得豁免於資訊安全政策外，以保持資訊安全管理機制之彈性與完整性。