資訊安全政策

1. 政策目標

愛生育生物科技，致力於保護客戶資料和業務資訊的安全。本資訊安全政策建立了完整的安全管理框架，確保資訊系統安全、資料完整性以及服務的持續可用性。

2. 隱私權政策

連接到愛生育生物科技的隱私權政策宣告（涵蓋台灣個資法、國際個資法、歐盟個資法）

3. 資訊安全管理架構

3.1 管理原則

• 機密性（Confidentiality）：確保資訊僅供授權人員存取
• 完整性（Integrity）：維護資料的準確性和完整性
• 可用性（Availability）：保障授權用戶能及時存取資訊和服務

3.2 合規標準

4. 技術安全措施

4.1 網路安全

• 多層防護：部署 WAF、DDoS 防護、入侵檢測系統
• 網路隔離：DMZ 區域隔離、內外網分離架構
• VPN 存取：遠端管理採用加密 VPN 連線
• 流量監控：24/7 網路流量異常監測

4.2 資料加密

• 傳輸加密：全站採用 SSL/TLS 1.3 加密協定
• 儲存加密：敏感資料採用 AES-256 加密算法
• 金鑰管理：硬體安全模組（HSM）管理加密金鑰
• 端到端加密：關鍵業務通訊採用端到端加密

4.3 系統安全

• 作業系統強化：定期安全更新、最小化安裝原則
• 應用程式安全：安全編碼標準、定期安全測試
• 資料庫安全：權限分級、SQL 注入防護、審計日誌
• 容器安全：映像檔掃描、運行時安全監控

5. 存取控制與身份管理

5.1 使用者身份驗證

• 多因素驗證：管理帳戶啟用 MFA
• 單一登入：企業客戶整合 SSO 系統
• 密碼政策：複雜度要求、定期更換機制
• 帳戶鎖定：異常登入自動鎖定保護

5.2 權限管理

• 最小權限原則：用戶僅獲得必要的最小權限
• 角色基礎存取：依職能分配對應權限群組
• 權限審查：定期檢視和更新用戶權限
• 特權帳戶管理：管理員帳戶特別監管機制

6. 資料保護與備份

6.1 資料分類

6.2 備份策略

• 6-2-1 備份原則：3 份資料副本，2 種不同媒體，1 份異地備份
• 即時備份：關鍵業務資料即時同步備份
• 加密備份：所有備份資料採用加密保護
• 定期測試：每月執行資料復原測試

7. 事件回應與監控

7.1 安全監控

• SIEM 系統：集中化日誌管理與異常偵測
• 即時監控：24 小時 x 365 天安全操作中心
• 威脅情報：整合外部威脅情報源
• 行為分析：用戶行為異常偵測系統

7.2 事件處理流程

8. 人員安全管理

行政院數發部資安署 - 資安全民教材

行政院數發部資安署 - 資安全民教材測驗

8.1 員工教育訓練

• 入職訓練：新進人員資安意識培訓
• 定期訓練：每季度安全知識更新課程
• 社交工程防護：釣魚郵件識別演練
• 安全文化：建立全員參與的安全文化

8.2 第三方管理

• 供應商評估：定期審查合作夥伴安全水準
• 合約要求：安全條款納入合作協議
• 存取管理：嚴格控制外部人員系統存取
• 定期檢查：外部存取權限定期審查

9. 災難復原計畫

9.1 業務持續性

• 復原時間目標（RTO）：關鍵系統 4 小時內恢復
• 復原點目標（RPO）：資料遺失不超過 1 小時
• 備援機制：多地區備援資料中心
• 自動切換：主要系統故障自動切換

9.2 測試與演練

• 定期測試：每季執行災難復原演練
• 情境模擬：不同災難情境的復原測試
• 文件更新：依測試結果更新復原程序
• 人員培訓：確保操作人員熟悉復原流程

10. 合規性與稽核

10.1 內部稽核

• 定期稽核：每半年進行內部安全稽核
• 風險評估：年度資訊安全風險分析
• 弱點掃描：每月執行系統弱點檢測
• 滲透測試：年度委外滲透測試

10.2 外部認證

• ISO 27001 認證：年度續證與監督稽核
• SOC 2 Type II：第三方安全控制評估
• 法規遵循：定期檢視相關法規要求
• 客戶稽核：支援大型客戶安全稽核需求

11. 通報與溝通

11.1 安全事件通報

如發現資訊安全事件，我們將依照以下時程進行通報：

• 內部通報：事件發現後 1 小時內通報管理層
• 主管機關：依法規要求時效內通報相關單位
• 客戶通知：涉及客戶資料時 72 小時內通知
• 公開說明：必要時發布公開聲明說明

11.2 聯絡窗口