一、資通安全對象與範圍

對象 : 包括員工、客戶、供應商以及營運相關資訊軟硬體設備。

範圍 : 適用為資訊機房維運、業務持續運作系統及網站系統維護之安全管理，己充份掌握資訊運作及管理過程並滿足各項安全要求與期盼，主要類別如下 :

1. 資訊記錄
2. 電腦系統
3. 人員
4. 基礎設施服務
5. 實體區域
6. 實體設備

二、資通安全風險架構

        由本公司研發部主管召集成立【資通安全管理委員會】，本委員會負責審視各單位之資通安全政策執行情形，以建構出資通安全防衛能力及同仁良好的資通安全意識，每年定期向總經理報告當年度執行情形。

三、資通安全政策

        為使沛智各項業務順利運作，防止資訊或資通系統遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)，特制定本政策，以供全體同仁共同遵循：

1. 保護沛智各項業務活動資訊之機密性與完整性，避免未經授權的存取、修改，確保其正確完整。因應資通安全威脅情勢變化，沛智同仁應參與資通安全相關教育訓練，以提高企業資通安全意識。
2. 尊重智慧財產權和個資，保護顧客及企業資訊。
3. 定期進行內部與外部稽核，確保相關作業皆能確實落實。
4. 符合相關法令或法規之要求，達成業務持續運作之目標。

四、資通安全目標

1. 沛智間接員工每年應完成1小時資通安全教育訓練。
2. 若知悉資安事件發生，能於規定的時間完成通報、應變及復原作業(年度重大事件發生≤1次)。
3. 前次內部稽核發現事項，未完成改善之件數應≤2件。

五、資訊安全控制措施

 每年定期盤點資訊資產清單，依資安風險評鑑進行風險管理，落實各項管控措施。

1. 定期執行資通安全宣導作業，每年辦理與資通安全教育訓練，新進人員皆須簽定資訊保密協定。
2. 所有員工、委外廠商暨其協力廠商須簽定保密聲明書，以確保使用本公司資訊以提供資訊服務或執行相關資訊業務者，有責任及義務保護其所取得或使用本公司之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。
3. 重要資訊系統或設備應建置適當之備援或監控機制並定期演練，維持其可用性。
4. 個人電腦應安裝防毒軟體且定期確認病毒碼之更新，並禁止使用未經授權軟體。
5. 同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
6. 制定資通安全事件的回應及通報標準程序，以適當對資通安全事件做即時處理，避免傷害擴大。
7. 全體人員應遵守法律規範與資通安全政策要求，主管人員應督導資安遵行制度落實情況，強化同仁資安認知及法令觀念。