1. 目的(政策)
昱鐳應材股份有限公司(以下簡稱本公司)為確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資訊安全管理系統,特訂定資訊安全政策(以下簡稱本政策),以確保資訊之機密性、完整性與可用性。
- 1.1 機密性:確保只有經授權的人才能存取機敏資訊。
- 1.2 完整性:確保使用之資訊正確無誤、未遭竄改。
- 1.3 可用性:確保經授權的使用者在需要時可以隨時存取資訊及相關資訊資產。
2. 依據
- 2.1 ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection- Information security management systems - Requirements)。
- 2.2 個人資料保護法及施行細則。
3. 內容(目標)
- 3.1 建立組織資訊安全推行小組,負責推動資訊安全工作。
- 3.2 評估人員之任免、職務之分派,對離職、休職、停職或調職之人員,應建立控管及人力備援制度;另定期辦理資訊安全教育訓練及宣導,提升人員資訊安全認知及水準。
- 3.3 建立資訊資產的保管制度,有效分配、運用及管理資訊資源。
- 3.4 重要設施及特殊場所應加強管制。
- 3.5 提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。
- 3.6 建立資訊緊急處理機制與營運持續演練計畫,並定期操演、測試記錄。
4. 修訂與公告
本政策由「資訊安全推行小組」每年定期審議,另組織、業務、法令或實體環境等因素之變迭時,予以適當修訂。本政策經總經理核定後公布施行,修正時亦同。
5. 資訊安全政策之宣導與檢討
- 5.1 資訊安全政策應每年透過教育訓練、內部會議、張貼公告等方式,向本公司內所有人員進行宣導,並檢視執行成效。
- 5.2 本資訊安全政策由總經理核定,每年於資訊安全管理審查會議中檢討,其適切性,應至少評估一次,以反映各項資訊安全政策、法令、技術及業務之最新狀況,確保安全實務作業之可行性及有效性。
- 5.3 本公司所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。