資訊安全政策

政策承諾：

• 本公司承諾保護所有資訊資產之機密性、完整性與可用性

• 建立符合國際標準之資訊安全管理制度

• 持續改善資安防護能力與事件應變機制

• 確保遵循相關法規與客戶資安要求

適用範圍：

• 本公司所有員工、承包商、合作夥伴

• 所有資訊系統、網路設備、資料資產

• 實體與虛擬環境、雲端與地端系統

政策目標：

• 建立 ISO 27001 資訊安全管理制度

• 通過政府資安稽核與第三方驗證

• 達到醫療等級資安防護標準

• 零重大資安事件發生

資安組織架構：

• 資安長（CISO）：負責資安策略規劃與執行

• 資安委員會：跨部門資安決策與協調

• 資安專責人員：日常資安維運與監控

• 部門資安聯絡人：業務單位資安推動

職責分工：

• 董事會：核定資安政策與預算

• 執行長：資安最高負責人

• 各部門主管：所屬系統與資料安全責任

• 全體員工：遵循資安規範與通報義務

外部合作：

• 資安顧問公司：專業諮詢與技術支援

• 政府機關：資安通報與協調聯繫

• 產業組織：資安威脅情資分享

風險識別：

• 系統漏洞：定期弱點掃描與滲透測試

• 人為威脅：社交工程、內部威脅防範

• 環境威脅：天災、停電、網路中斷

• 法規風險：法令變更、合規要求

風險評估方法：

• 採用 NIST Cybersecurity Framework

• 量化與質化風險分析並行

• 年度全面風險評估

• 重大變更風險影響評估

風險處理策略：

• 高風險：立即處理並持續監控

• 中風險：規劃處理時程與資源

• 低風險：接受並定期檢視

• 風險轉移：保險、委外、合約約定

身分認證機制：

• 多因子認證（MFA）：所有系統強制實施

• 生物辨識：高敏感系統額外認證

• 單一登入（SSO）：統一身分管理

• 密碼政策：複雜度要求與定期更換

權限管理原則：

• 最小權限原則：僅授予必要權限

• 職務分離：關鍵作業多人核准

• 定期檢視：每季度權限盤點

• 自動撤銷：離職立即停用帳號

特權帳號管理：

• 管理者帳號專用且不共用

• 特權作業全程錄影與稽核

• 緊急帳號受控啟用與監控

• 第三方維護商權限時效管制

資料分類分級：

• 絕對機密：個人健康資料、商業機密

• 機密資料：客戶資料、財務資料

• 敏感資料：系統設定、技術文件

• 一般資料：公開資訊、行銷資料

加密技術標準：

• 傳輸加密：TLS 1.3、Perfect Forward Secrecy

• 儲存加密：AES-256、資料庫透明加密

• 應用程式加密：端對端加密、欄位加密

• 備份加密：異地備份全程加密保護

金鑰管理：

• 硬體安全模組（HSM）保護根金鑰

• 金鑰分離與託管機制

• 自動金鑰輪替與版本管理

• 金鑰使用全程稽核記錄

資料生命週期管理：

• 資料建立：自動分類與標記

• 資料使用：存取控制與使用監控

• 資料保存：依法規要求保存期限

• 資料銷毀：安全清除與銷毀證明

網路安全架構：

• 網路分段：DMZ、內網、管理網分離

• 防火牆：多層防火牆與入侵防護

• 網路監控：24/7 網路流量分析

• 威脅偵測：AI 異常行為偵測

端點安全防護：

• 端點偵測回應（EDR）：即時威脅偵測

• 防毒軟體：即時掃描與更新

• 行動裝置管理（MDM）：BYOD 安全管控

• 軟體白名單：僅允許核准軟體執行

伺服器安全強化：

• 作業系統強化：移除不必要服務

• 定期更新：安全修補程式管理

• 配置基準：CIS Benchmark 標準

• 容器安全：Docker/K8s 安全配置

雲端安全：

• 雲端存取安全代理（CASB）

• 雲端安全態勢管理（CSPM）

• 雲端工作負載保護（CWPP）

• 多雲環境統一安全管理

安全監控中心（SOC）：

• 24x7 安全事件監控與分析

• SIEM 平台整合多源日誌

• 威脅情資整合與自動化分析

• 安全儀表板即時呈現狀態

事件分級與應變：

• 第一級（低）：系統自動處理

• 第二級（中）：2 小時內人工處理

• 第三級（高）：1 小時內啟動應變

• 第四級（緊急）：立即啟動危機處理

事件處理流程：

• 偵測識別：自動與人工監控

• 初步回應：控制影響範圍

• 調查分析：數位鑑識與根因分析

• 復原重建：系統復原與加強防護

• 經驗學習：事件檢討與改善

通報機制：

• 內部通報：即時通知相關人員

• 外部通報：依法向主管機關通報

• 客戶通報：重大事件 72 小時內通知

• 媒體應對：統一對外發言管道

業務影響分析：

• 關鍵業務流程識別

• 復原時間目標（RTO）：4 小時

• 復原點目標（RPO）：1 小時

• 最大可容忍中斷時間（MTPD）：24 小時

災難復原策略：

• 雙活資料中心：主備站即時同步

• 異地備援：第三地備份與復原

• 雲端災援：混合雲彈性擴充

• 緊急作業：核心功能優先復原

備份管理：

• 自動備份：每日全量、即時增量

• 異地備份：3-2-1 備份策略

• 備份測試：每月復原測試

• 備份監控：備份成功率與完整性

演練與測試：

• 年度災難復原演練

• 季度部分系統測試

• 月度備份復原驗證

• 演練結果檢討與改善

供應商安全評估：

• 資安能力評估與稽核

• 安全等級分類管理

• 合約資安條款約定

• 定期安全績效檢視

雲端服務安全：

• CSP 安全認證驗證（ISO 27001、SOC 2）

• 服務等級協議（SLA）約定

• 資料主權與可攜性確保

• 雲端設定基準檢查

委外開發安全：

• 安全開發生命週期（SDLC）

• 程式碼安全檢測

• 滲透測試與弱點修補

• 交付前安全驗收

合作夥伴管理：

• 網路連線安全控制

• 資料存取權限管制

• 安全教育訓練要求

• 事件通報與協作機制

法規遵循框架：

• 個人資料保護法：個資處理全程管控

• 資通安全管理法：政府資安規範遵循

• 醫療法規：醫療資訊安全特殊要求

• 國際標準：ISO 27001、NIST Framework

稽核機制：

• 內部稽核：年度資安稽核計畫

• 外部稽核：第三方獨立驗證

• 政府稽核：配合主管機關檢查

• 客戶稽核：重要客戶現場查核

合規管理：

• 法規變更追蹤與影響評估

• 內控制度持續改善

• 員工法規教育訓練

• 違規事件處理與改善

認證與驗證：

• 目標取得 ISO 27001 認證

• 年度滲透測試與弱點評估

• 資安成熟度評估

• 國際資安框架對標

員工資安訓練：

• 新進員工：資安基礎教育

• 在職訓練：年度 8 小時資安課程

• 特殊角色：額外專業資安訓練

• 測驗認證：資安知識能力驗證

社交工程防範：

• 模擬釣魚郵件測試

• 電話詐騙情境演練

• 實體安全意識培養

• 異常行為通報獎勵

資安文化建立：

• 資安月主題活動

• 資安案例分享學習

• 資安改善提案制度

• 資安績效納入考核

外部溝通：

• 客戶資安宣導與教育

• 供應商資安要求傳達

• 產業資安經驗交流

• 資安議題公開透明

資安聯絡窗口：

• 資安專線：04-23016388

• 資安信箱：security@weemed.ai

• 緊急聯絡：24 小時資安值班電話

• 通報平台：內部資安事件通報系統

客戶服務：

• 資安諮詢：service@weemed.ai

• 漏洞回報：bug-bounty@weemed.ai

• 申訴管道：complaint@weemed.ai

• 法規諮詢：legal@weemed.ai

政策更新：

• 重大政策變更提前 30 日公告

• 最新版本發布於官方網站

• 變更歷史記錄完整保存

• 利害關係人及時通知機制