策 略數位服務有限公司資訊暨個資安全管理系統政策

一、資訊安全政策

1. 本公司各部門之資訊安全專責人員負責資訊安全各項事宜。
2. 本公司全體員工(含約、聘僱人員)皆須遵守本公司資安事件通報機制，通報所發現之資訊安全事件或資訊安全弱點。
3. 為符合本政策目標，應制定風險評估暨管理程序，進行風險評估與管理，以有效管理資訊資產面臨之風險，降低風險至可接受範圍。
4. 明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。
5. 本公司所有往來供應商皆須簽署保密協議書，並遵守本政策以及相關程序之規定，不得未經授權使用或濫用本公司各類資訊資產。

二、個資安全政策

1. 本公司各個資安全管理組織負責個人資料保護制度之建立及推動事宜以確認本公司個資安全政策能被實施並配置相當資源。
2. 為符合本政策目標，應維持一份組織處理的個人資訊類別清單(如：個資清查彙整表)，建立個人資料之風險評估及管理機制。
3. 建立設備、資料安全及人員管理規範及個資事故之預防、通報與應變機制。
4. 建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制，以為後續舉證或證明已盡善良管理人之用。
5. 僅會基於合法之目的及執行法定義務的必要的範圍內公平並合法的處理個人資訊。
6. 僅會基於合法之目的蒐集最少且必要的個人資訊，處理相關且適當的個人資訊亦不會超出蒐集之目的，對於保存個資的時間須為法律或規定的需求理由或為合法 的組織目的。
7. 維持正確的個人資訊並確保其安全，且於必要時維持其資訊為最新的狀態。
8. 本公司於個人資訊處理或利用前清楚告知當事人，會以適當方式使用當事人個人資訊，並且尊重當事人與其個人資訊的相關的權利，包括對於個人資訊的存取 權。
9. 本公司於委託蒐集、處理及利用個資時，要求受委託單位落實妥善監督之責，明定受委託單位個資安全保護責任及保密規定，並納入契約規定，要求受委託單位 遵守並定期予以查核。