一、目的

確保四點設計有限公司（以下簡稱本公司）資訊系統服務正常且安全穩定的運作，規範本公司資訊安全管理制度最高指導方針，以確保資訊資產之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及符合相關法規之要求，降低資訊安全風險，進而保障資訊系統服務使用者之權益。

二、作業規範

2.1 原則

2.1.1 應考量相關法律規章及營運要求，進行資產風險評估(Risk evaluation)，確認資訊作業安全需求，建立標準作業程序，並採取適當資訊安全控制措施，以確保資產安全。

2.1.2 為利推行資訊安全工作，應建立資訊安全組織並訂定其分工權責。

2.1.3 以人員角色及職能為基礎，建立評估或考核制度，並視實際需要辦理資訊安全教育訓練及宣導活動。

2.1.4 資產存取權限之賦予，應依據業務需求並考量最小權限、權責區隔及審查。

2.1.5 建立資訊安全事故管理程序，以確保事故妥善回應、控制與處理。

2.1.6 訂定營運持續計畫並定期演練，以確保資訊服務持續運作。

2.1.7 依據『資通安全管理法』、『個人資料保護法』與智慧財產權等相關法令規定，審慎處理及保護資訊資產、個人資料與智慧財產權。

2.1.8 定期執行資訊安全稽核作業，檢視資訊安全管理制度之落實度。

2.1.9 同仁如違反本政策與資訊安全相關規範，應依獎懲標準或相關法規辦理。其他人員違反資訊安全規定時，亦應依相關法律規定追究民刑事責任。

2.2 資訊安全目標制定與評估

2.2.1 共同保護資訊服務維運管理相關資產，防止人為意圖不當或不法使用，遏止駭客、病毒等入侵及破壞之行為。

2.2.2 建立資訊安全管理流程與相關標準作業程序，加強同仁資訊安全意識，避免人為作業疏失與意外，以維持資訊服務符合機密性、完整性、可用性、適法性的持續運作。

2.2.3 應以營運策略方向制定資訊安全目標，使營運策略建構在資訊安全目標之上。資訊安全管理審查代表應將資訊安全目標明訂於「資訊安全目標與達成計畫暨評估表」。

2.3 資訊安全政策審查與布達

2.3.1 資訊安全管理審查代表每年審查政策與「資訊安全目標與達成計畫暨評估表」，以符合相關法令、技術、利害關係者(Interested Parties)期待，以及與營運策略連結。

2.3.2 資訊安全管理組應確保資訊安全要求皆被知悉，應識別須被布達「資訊安全宣言」的利害關係者，並留下布達與確認之紀錄。