隱私保護
EN 精緻乾洗 資訊安全政策
版本:1.0 發布日期:2025年10月14日
1. 政策總則
為確保 EN 精緻乾洗(以下簡稱「本公司」)之資訊資產(包含顧客資料、營運資訊及核心系統)的機密性、完整性與可用性,並保障顧客、合作夥伴及員工的權益,特制訂本資訊安全政策(以下簡稱「本政策」)。本政策旨在建立一個安全、可靠的營運環境,防範內外部的惡意或非預期之威脅。
本公司全體員工、委外服務廠商及合作夥伴,皆有責任遵循本政策及相關程序,共同維護本公司的資訊安全。
2. 資訊安全願景與目標
-
願景: 建立顧客最信賴的精緻乾洗服務品牌,確保顧客個人資料與消費紀錄受到最高標準的安全保護。
-
目標:
-
資料保護: 確保顧客個人資料與交易資訊在處理、傳輸及儲存過程中的機密性與完整性,防止未經授權的存取、洩漏或竄改。
-
系統穩定: 維護線上預約系統、會員管理系統及內部營運系統的穩定運行,確保服務不中斷。
-
法規遵循: 遵循《個人資料保護法》及其他相關法律法規的要求。
-
安全意識: 提升全體員工的資訊安全意識,並將安全責任融入日常作業中。
-
3. 資訊安全管理範圍
本政策適用範圍涵蓋本公司所有業務活動,包含:
-
人員: 本公司全體員工(正職、兼職)、實習生、委外服務人員及顧問。
-
資訊資產:
-
硬體設備: 伺服器、個人電腦、銷售點終端機(POS)、網路設備等。
-
軟體系統: 會員管理系統、訂單處理系統、官方網站、內部辦公軟體等。
-
資料: 顧客個人資料、交易紀錄、營運報表、員工資料及其他機敏性業務資料。
-
-
營運據點: 總部辦公室、各實體門市及資料處理場所。
4. 政策指導方針
為達成上述目標,本公司訂定以下資訊安全指導方針:
-
資訊安全組織與責任:
-
資訊安全小組,負責推動、協調及審查資訊安全相關事務。
-
明確劃分各部門及人員的資訊安全權責。
-
-
人力資源安全管理:
-
對新進員工進行必要的安全背景查核,並於到職時簽署保密協議。
-
定期舉辦資訊安全教育訓練,強化員工對釣魚郵件、社交工程等威脅的防範能力。
-
員工離職或職務調動時,應確實辦理權限變更與資產歸還程序。
-
-
資產管理:
-
建立資訊資產清冊,並根據其重要性進行分類分級管理。
-
規範資訊資產的正確使用方式,防止不當使用或實體損壞。
-
-
存取控制:
-
遵循「最小權限原則」,僅授予員工執行業務所需之最低系統存取權限。
-
建立系統存取申請、審核及變更的標準流程。
-
強化密碼設定複雜度要求,並定期提醒更換。
-
-
實體與環境安全:
-
重要機房與辦公區域應設置門禁管制,防止未經授權人員進入。
-
確保營運據點具備適當的防火、防水及不斷電系統,以應對環境風險。
-
-
營運與通訊安全:
-
定期進行系統弱點掃描與風險評估,並及時修補漏洞。
-
建立惡意軟體防護機制,確保所有電腦設備安裝防毒軟體並維持最新狀態。
-
重要資料應定期備份,並執行備份還原演練,確保資料可回復性。
-
-
委外管理:
-
慎選委外服務廠商,並於合約中明確訂定資訊安全責任與保密條款。
-
定期審核委外廠商的服務品質與安全防護能力。
-
-
資訊安全事故應變:
-
建立資訊安全事故通報及應變程序,確保事故發生時能迅速反應,降低損害。
-
事故處理後應進行根本原因分析,並採取改善措施,防止再次發生。
-
5. 政策審查與修訂
本政策應每年至少審查一次,或於公司組織、業務、法規或技術發生重大變更時進行重新評估,以確保其適用性與有效性。本政策經管理階層核准後公告實施,修訂時亦同。