在弓箭手村的資安修練第 29 天，光靠技術與工具是不夠的，真正能守住防線的，往往是一套清楚、嚴謹又能落實的政策制度。今天的修練任務，就是學會如何透過各種資安政策，建立起組織內部的行為準則與防護機制。
我們會從資料處理政策開始，了解如何保護敏感資訊不被未授權存取；接著進入密碼政策，學會如何設定強密碼與管理機制，避免帳號被輕易破解；再來是可接受使用政策（AUP），規範員工使用公司資源的行為；還有自攜裝置政策（BYOD），在彈性與風險之間取得平衡；最後是隱私政策，確保個人資料的收集與使用符合國際法規與道德標準。
這些政策就像弓箭手村的村規，不只是紙上談兵，而是每位村民都必須遵守的行動準則。唯有制度與意識並重，才能打造真正穩固的資安堡壘。準備好進入資安治理的核心修練了嗎？

1. 資料處理政策
   • 重點在於，需要透過一系列的安全措施還標準作業程序，來保護敏感資料不被為授權的人存取或洩漏，這些敏感資料可能包含個人資訊、財務資料、醫療紀錄等。
   • 參考「5.1 資料處理」章節
2. 密碼政策
   • 每個組織都應該制定一套明確的密碼政策，來確保使用者帳號不會因為若密碼而被駭，這份政策通常會規定：
     • 密碼至少要有多少字元（例如：8位以上）
     • 必須包含大小寫字母、數字和特殊符號
     • 密碼多久要更換一次（例如：每90天）
     • 不可以重複使用舊密碼
   • 除了密碼本身的規範，政策也應該清楚說明：誰負責執行這些規定、誰負責定期檢查密碼是否符合標準，這樣才能確保整個密碼管理流程是有效且可以追蹤的。
3. 可接受使用政策 (Acceptable Use Policy, AUP)
   • AUP就像公司對員工使用資源的使用守則，他會明確規定員工在使用公司電腦、網路、資料或其他資源時，哪些行為是被允許的，哪些又是被禁止的。
4. 自攜裝置政策 (Bring Your Own Device, BYOD)
   • BYOD是指公司允許員工使用自己的筆電、手機或平板來處理工作相關的事務，這樣做的好處可以提升工作效率和彈性，但也會帶來一些風險，
   • 例如：員工的個人裝置可能沒有安裝防毒軟體、沒有加密儲存空間，甚至可能連接到不安全的公共網路。這些都可能讓公司資料暴露在風險之中。
   • 公司在實施 BYOD 政策時，必須制定明確的安全標準，像是要求裝置安裝資安軟體、設定強密碼、啟用遠端清除功能等，來降低潛在風險。
5. 隱私政策
   • 組織必須清楚定義什麼是個人可識別資訊（PII）和受保護健康資訊（PHI），並說明這些資料會如何被收集、使用、儲存和保護。
   • 這類政策通常會參考各國的法規與立法，例如：
     • 歐盟的 GDPR（一般資料保護規則）
     • 加拿大的 PIPEDA（個人資訊保護與電子文件法）
     • 美國的 HIPAA（健康保險可攜與責任法案）
   • 公司應該公開這份政策，讓使用者或員工知道他們的資料會被如何處理，也要說明如果他們有隱私疑慮，可以透過什麼管道提出申訴或查詢。