資訊通信安全政策
2025.03版本
本資訊通信安全政策(以下簡稱「本政策」)為奎爾特國際企業股份有限公司(英文: Quilter International Enterprise Co., LTD.)(以下簡稱「Quilter」或「本公司」)以及本公司網站(以下簡稱「本網站」)為提供可靠的資訊通信服務,特此制定本政策作為本公司內部資訊安全管理的最高指導原則;本政策旨在維護資訊資產的機密性、完整性和可用性,並促進各種商務活動的順利進行。
-
適用範圍
本政策適用於公司的所有員工,以及與公司進行業務交易或互動的供應商、訪客。
-
資訊安全目標
公司的資訊安全目標如下:- 確保本公司資訊資產的機密性,實施資料存取控制,確保資訊只能由授權人員存取。
- 確保本公司訊息處理方法的正確性和完整性。
- 確保本公司資訊流程的持續運行。
-
資訊安全控制措施
本公司的資訊安全控制措施包括但不限於:- 成立資訊安全及個人資料保護管理委員會及資訊安全推進小組,確保資訊安全管理運作的有效性。
- 每個部門都應創建資訊資產清單並指定擁有者。應根據資訊資產水準的差異進行風險評估,對超出可接受水平的風險進行風險管理,並實施控制措施。
- 人員招聘應進行必要的考核,員工應簽署相關操作規程,並應參加資訊安全教育和培訓,增強資訊安全防護意識。
- 進入本公司建築物和資訊安全控制區域時,應執行嚴格的門禁控制和物品攜出入規則。
- 明確識別所有產品、服務、流程、網路和資訊技術基礎設施的資訊安全,以確保識別風險,並部署適當的防護措施。
- 應為重要設備建立適當的備份或監測機制,以保持其可用性。員工的個人電腦應安裝防病毒軟體,且應定期確認病毒代碼更新,並應禁止使用未經授權的軟體。
- 員工應負責妥善保護和使用其個人帳戶、密碼和許可權。管理人員應定期進行年度檢查。對關鍵系統運行數據,應定期進行數據備份並執行異地儲存。
- 在系統開發的初始階段,應考慮安全控制機制;對於外包開發,應加強控制和合約資訊安全要求。應密切監控系統開發,以防止延誤和偏離時程表。
- 應設計適當的資訊安全事件和漏洞回應程式,以便對資訊安全事件做出即時回應,以防止進一步的損害。
- 應制定業務永續運作計劃,定期演練,並不斷調整和更新。
- 員工的日常作業應納入驗證和審查機制,以保持數據的準確性。主管應監督資訊安全遵行制度的落實情形,強化員工資訊安全意識和法律觀念。
- 與本公司有業務往來或互動的廠商和訪客需要存取本公司的資訊資產時,應接受必要的審查,且該等人員有責任保護本公司的資訊資產。
-
審查和修訂
本公司因應法令修改、業務需求、科技發展等,將不定時修訂公布本政策而無須另行向您事前通知。本政策以中文作成,若有任何其他語言版本與中文版本之內容有歧異時,應以中文版本為準。若您對本政策有任何疑問,請透過本網站公布之管道與本公司聯繫。