資通安全暨個資保護宣言
112年02月01日版
財團法人電信技術中心(以下簡稱本中心)依據「資通安全管理法」與「個人資料保護法」等相關規定,並採用ISO/IEC 27001資訊安全管理系統(Information Security Management. System,ISMS)標準及BS 10012個人資訊管理系統(Personal Information Management System,PIMS)標準,訂有資通安全暨個資保護管理政策(以下簡稱本政策)作為本中心資通安全暨個資保護管理制度最高指導方針。
本中心資通安全暨個資保護工作之最終目的在於透過作業程序之管理,以及每年至少二次的內部稽核作業,輔以教育訓練,提升人員之資通安全及個資保護意識,以確保本中心資訊資產與個人資料之機密性、完整性、可用性及適法性符合相關法令要求,確實管理與維護所擁有之個人資料及用戶隱私檔案安全,規範個人資料及用戶隱私之蒐集、處理及利用管理,以維護個人及其他利害關係人權益。
本中心資通安全暨個資保護工作係以系統化之風險評估及風險管理為基礎,以管理及技術並重作為實施風險控制措施,以個人資料蒐集、處理及利用最小化為原則,並依業務規模及特性,衡酌經營資源之合理分配。本中心並設置有管理人員及配置相當資源,訂定各相關規定或程序以及業務終止後個人資料處理方法,以辦理個人資料及用戶隱私安全保護措施等相關作業,並持續通過ISO/IEC 27001與BS 10012的認證,以確保本中心資通安全暨個資保護工作能符合國際標準。
本中心資通安全暨個資保護作業之四大目標:
- 一、確保本中心業務相關資通訊之機密性、完整性及可用性,降低未經授權存取、資訊錯誤與業務中斷之風險。
- 二、確保本中心資通安全暨個資保護管理制度之控制措施符合法令及主管機關規範。
- 三、確保本中心各項業務活動之營運持續,並降低災害發生之衝擊。
- 四、確保員工資通安全及個人資料保護意識持續提升。
本政策適用於本中心全體同仁及其他利害關係人與所有相關資訊資產及個人資料之安全管理,並依據本中心所制訂之資通安全暨個資保護管理制度規範實施。若員工違反本政策與資通安全暨個資保護管理制度相關規範,應依據本中心人事管理辦法懲處;若涉及違反法令法規時,則另依相關法律規定追究民事及刑事責任。
本中心應每年檢視資通安全暨個資保護管理政策及目標,以扣合本中心營運策略,並視業務變動、技術發展及風險評鑑結果修訂,以符合相關法令、技術要求及相關利害關係人之期待。