營運持續管理政策

第 1 條 (目的)

為確保本公司營運不中斷，並提升面臨各類災害或衝擊等事件之營運韌性，以健全公司經營、保障員工安全與維護客戶及利害關係人之權益，特制定本政策，以資遵循。

第 2 條 (適用範圍)

本政策適用於本公司各部門之各項業務及系統。

第 3 條 (角色與權責)

董事會應認知本公司營運所需承擔之各項風險，確保營運持續管理之有效性，並對營運持續管理負最終責任。

本公司應設置營運持續管理權責單位，並配置適當之人力與資源，負責推動、協調、監督及審查營運持續管理事項。

本公司應訂定營運持續相關管理、訓練、演練及應變復原等辦法，並將適用之規範傳達給所有核心業務與核心系統相關員工及供應商。

稽核部門應查核與評估營運持續管理機制的有效性，並提供適當改進建議。建議應納入定期稽核範圍。

第 4 條 (營運衝擊分析與營運持續策略)

本公司應每年定期識別核心業務及核心系統，並每年定期執行營運衝擊分析，以評估核心業務中斷所造成之衝擊程度。

本公司應依前項分析，訂定最大可容忍中斷時間(MTPD)、復原時間目標(RTO)、最小可接受服務水準及資料復原點目標(RPO)及最小可接受服務水準及資料復原點目標(RPO)，據以制定本公司營運持續策略。

第 5 條 (災害應變機制)

本公司應每年定期進行風險評鑑，辨識可能造成中斷之風險情境，並制定災害應變機制，以確保災害發生時，可有效降低人員傷亡、系統與各項資產損失情況。

第 6 條 (營運持續計劃)

本公司應制定營運持續相關計畫，並經營運持續管理權責單位核准；營運持續相關計畫應每年定期檢視及測試其適切性。

本公司應訂定資訊設備故障復原程序，及進行週期性測試，並留存相關紀錄。

第 7 條 (演練與測試)

本公司應每年定期依營運持續相關計畫進行演練與測試，並視演練範圍邀集第三方供應商參與。

本公司應於演練後召開檢討會議，以確認演練結果是否符合本公司營運持續策略，並留存相關紀錄；演練與測試之結果應提報營運持續管理權責單位及董事會。

第 8 條 (教育訓練)

本公司營運持續管理相關人員應每年定期參與營運持續相關教育訓練，並留存紀錄。

第 9 條 (核心系統委外之管理)

核心系統委外時，本公司應確保供應商因其原因而造成營運中斷後，核心系統之復原水準能滿足本公司營運持續管理策略之要求，並納入委外契約。

資訊服務供應商應定期提供資通系統與資通服務之回復計畫，本公司應評估該計劃能否滿足本公司營運持續策略之要求，並保存相關審查紀錄；若不能滿足者，應擬訂相關措施並取得營運持續管理權責單位核准。

第 10 條 (通報與揭露)

本公司如發生重大偶發、重大資訊服務異常事件或資通安全等事件，致影響客戶權益或正常營運，應依本公司「重大偶發事件通報與揭露辦法」及「資訊安全事件通報暨處理規範」等規定辦理通報與揭露，並應留存相關紀錄。

第 11 條 (紀錄保存)

本政策相關紀錄及文件，應至少保存五年。但法令另有較長保存期間規定者，從其規定。

第 12 條 (實施與修正)

本政策未盡事宜，悉依法令、內部控制制度、同業公會自律規範及本公司相關規定辦理。

本政策經董事會通過後實施；修正時，亦同。