跳到主要內容區塊
公司政策
  • 壹、目的

    哈瑪星科技股份有限公司(以下簡稱本公司)為維護整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性及可用性,並建立安全及可信賴之作業環境,確保資料安全、系統安全、設備安全及網路安全,保障本公司同仁與相關內、外部人員之權益,特訂本政策。

    貳、適用範圍

    1. 本政策適用於本公司全體員工及委外人員
    2. 為避免人為疏失、蓄意或天災害等因素,導致資料不當使用、洩露、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,應考量管理下列事項:
      1. 資訊安全政策制定及評估。
      2. 組織的資訊安全與分工。
      3. 人力資源安全。
      4. 資產與風險管理。
      5. 存取控制。
      6. 加密機制。
      7. 實體及環境安全。
      8. 作業安全管理。
      9. 通訊安全管理。
      10. 資訊系統取得、開發及維護。
      11. 供應商管理。
      12. 資訊安全事件管理。
      13. 營運持續管理。
      14. 遵循性。
    3. 本公司之業務執行須符合相關法規要求。

    參、適用範圍

    無。

    肆、目標

    1. 維護本公司資訊之機密性、完整性及可用性,包括:
      1. 保護本公司業務資訊,避免未經授權的存取。
      2. 保護本公司業務資訊,避免未經授權的修改,確保其正確完整。
      3. 建立資訊業務永續計畫,確保本公司業務之持續運作。
    2. 本公司之業務執行須符合相關法規要求。

    伍、原則

    1. 所有同仁應充分了解本政策之目的及其職責。
    2. 部門主管對於本政策及相關作業規範之遵循,應負監督、執行、稽核之職責。
    3. 公司之資訊資產應定期盤點、分類分級,針對重要資訊資產進行風險評鑑,並據以實施適當防護措施。
    4. 所有同仁和委外廠商,均須依規定程序及指定措施辦理資訊業務。
    5. 所有同仁及委外廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。
    6. 任何危害資訊安全之行為人員,視情節輕重追究其民事、刑事及行政責任與相關懲處。
    7. 定期審查資訊安全管理制度之有效性。

    陸、審查

    1. 本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保維持營運和提供服務之能力。
    2. 本公司應考量內、外部議題及利害相關者要求,訂定適當之資訊安全管理制度實施範圍,經由管理階層審核、確認後實行。
    3. 資訊安全管理制度實施範圍應定期或不定期視內、外部環境之變更或執行狀況,如:法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素,於管理審查會議進行檢視調整,瞭解利害關係者之需求及期望,如下表所示。

    表一:瞭解利害關係者之需求及期望

    內部議題

    外部議題

    利害關係者

    利害關係者要求

     組織政策、目標

     主管機關(經濟部)要求 

    主管機關(經濟部)

    各項法令、法規

    政府單位要求

    政府單位

    各項法令、法規

    組織文化

    N/A

    內部人員

    組織內部規範

    相關資源需求
    (包括:人力、技術、預算等)

    N/A

    內部人員

    訓練

    高階主管

    績效(KPI)

    資訊安全事件資訊技術

    客戶

    合約內容(SLA)

    供應商

    合約內容

    ISO國際標準

    ISO國際組織

    ISO 27001

    第三方稽核單位

    柒、實施

    本政策經資訊安全長核定後實施,得以書面、電子或其他方式通知同仁、與本公司業務有關機關(構)及提供資訊服務之廠商,修正時亦同。

  • 壹、目的

    哈瑪星科技股份有限公司(以下簡稱本公司)為落實個人資料之保護及管理,並符合個人資料保護法(以下簡稱個資法)之要求,特制定個人資料管理政策(以下簡稱本政策)。

    貳、適用範圍

    本政策適用於本公司全體員工及委外人員。

    參、名詞定義

    一、個人資料:

    指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料等個人資料。

    二、當事人:

    係指個人資料之本人。

    三、利害關係人:

    指個人資料當事人、客戶、委外廠商或合作廠商或其他與本公司業務有關之相關人士或單位等。

    肆、目標

    一、依個資法及其施行細則、與個人資料管理制度(Personal Information Management System,以下簡稱PIMS)相關國際標準(如:BS 10012、ISO 27701)要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。

    二、為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

    三、提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。

    四、為提升全體人員個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練。

    五、定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級。

    伍、原則

    一、個人資料之蒐集與處理

    本公司因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料等個人資料,應遵循我國個資法等相關法令,不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定,對於個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。

    二、個人資料之利用及國際傳輸

    1. 本公司於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第20條之規定辦理;倘有需取得當事人之書面同意之必要者,本公司應依法取得當事人之書面同意。

    2. 本公司所蒐集、處理之個人資料,應遵循我國個資法及本公司個人資料管理制度之規範,且個人資料之使用為本公司營運或業務所需,方可為本公司承辦人員利用。

    3. 本公司取得之個人資料,如有進行國際傳遞之必要者,定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理,又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本公司將不進行國際傳遞,以維護個人資料之安全。

    三、個人資料之調閱與異動

    當本公司接獲個人資料調閱或異動之需求時,應依個資法第3條及本公司所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。

    四、個人資料之例外應用

    1. 本公司因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第20條及相關法令規定,並以正式公文或其他可證明之方式查詢,本公司不得對第三人揭露:

    (1). 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需。

    (2). 本公司目的事業主管機關因進行業務檢查所需。

    (3). 其他政府機關因執行公權力並有正當理由所需。

    (4). 與公眾生命安全有關之機關(構)為緊急救助所需。

    2. 依個資法第20條規定,本公司對個人資料之利用,除個資法第6條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:

    (1). 法律明文規定。

    (2). 為增進公共利益所必要。

    (3). 為免除當事人之生命、身體、自由或財產上之危險。

    (4). 為防止他人權益之重大危害。

    (5). 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

    (6). 經當事人同意。

    (7). 有利於當事人權益。

    五、個人資料之保護

    1. 本公司已成立個資管委會,明確定義相關人員之責任與義務,下設執行小組,並依相關法令規定辦理個資檔案更新及安全維護管理事項。

    2. 本公司已建立與實施 PIMS,以確認本政策之實行;全體人員及委外廠商應遵循PIMS之規範與要求,並定期審查PIMS之運作。

    3. 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。

    4. 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。

    5. 為確保個人資料安全,應強化個人資料檔案於資訊系統之存取安全,建立安全保護機制,防止非經授權存取,以維護個人資料之隱私性,並定期查核。

    6. 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。

    7. 本公司各部門如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急應變措施。

    8. 本公司係以嚴密之措施、政策保護當事人之個人資料,全體人員均受有完整之個資保護相關教育訓練。倘有洩露個人資料之情事者,將依法追究其民事、刑事及行政責任。

    9. 本公司之委外廠商或合作廠商與本公司業務往來合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個人資料之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。

    六、利害關係人之參與及期許

    本公司個人資料保護及管理決議事項應納入個資管委會會議報告,涉及重大決議之會議紀錄應提報利害關係人,如有任何回饋事項,將列入下次個資管委會會議之討論議題。

    陸、審查

    每年至少舉行一次個資管委會審查會議,以確保本公司個人資料管理政策、矯正預防措施及相關個資議題之有效運作。

    柒、實施

    本公司之個人資料管理政策,每年定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳個資保護長兼召集人後,公告實施,修正時亦同。


    個資申訴服務信箱/001/Upload/463/relpic/10287/8/3da39eae-17d7-4041-a82d-32c174a7a080.png

  • 壹、目的

    哈瑪星科技股份有限公司(以下簡稱本公司)為規範個人資料之蒐集、處理及利用之作業程序,促進個人資料之合理利用,並展現對個人資料與隱私保護之決心,特此訂定個人資料與隱私保護管理最高指導方針,以建立安全、可信賴之資訊服務,並確保本公司執行業務工作皆符合相關法規之要求,維持業務持續運作,降低個人資料遭受不當揭露之風險,進而保障相關人員之權益,確保本公司落實個人資料保護與資訊安全,維護本公司聲譽與提供永續服務。

    貳、目標

    1. 本公司在執行外部業務與內部行政作業時,有關個人資料之蒐集、處理及利用等活動,應符合機密性、完整性及可用性,使危及資料保護相關事故發生機率降至最低。

    2. 建立本公司與個人資料保護相關之標準作業程序,避免人為作業疏失及意外,並加強本公司全體人員(包含業務員與行政人員,以下同)對於個人資料保護之安全意識。

    3. 保護本公司所管理之個人資料,防範人為意圖不當或不法使用,降低駭客、病毒等入侵及破壞之風險。

    參、適用範圍

    本聲明適用範圍為本公司全體人員或委外人員因執行業務、內部行政作業或委外專案所涉及的個人資料之蒐集、處理及利用等相關活動。

    肆、個人資料之蒐集、處理與利用

    1. 本公司為執行業務、內部行政作業或委外專案等需要所蒐集之個人資料,除法律另有規定或經當事人同意分享個人資料外,所有個人資料之蒐集作業與特定目的具有正當合理之關聯。且適當、相關、不過度且公平與合法地從事個人資料之處理。

    2. 本公司僅於下列情形之下,得為特定目的外之利用:

    (1) 法律明文規定。

    (2) 為增進公共利益所必要。

    (3) 為免除當事人之生命、身體、自由或財產上之危險。

    (4) 為防止他人權益之重大危害。
     
    (5) 公務機關或學術研究機構基於公共利益為統計或學術研究,且資料經 過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
     
    (6) 經當事人同意。
     
    (7) 有利於當事人權益。
     

    伍、個人資料之保護

    1. 本公司已成立個人資料保護組織,明確定義相關人員之責任與義務,建立與實施個人資料管理制度。

    2. 本公司考量個人資料保護法及相關法律規範要求,定期進行個人資料之風險評估,並採取適當安全措施,以善盡個人資料良善保護之責。

    3. 本公司因業務所擁有之個人資料負有保密義務,除當事人要求查閱或有下列情形除外:

    (1) 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需。

    (2) 本公司目的事業主管機關因公進行業務檢查所需。

    (3) 其他政府機關因執行公權力並有正當理由所需者。

    (4) 與公眾生命安全有關之機關(構)為緊急救助所需者。

    4. 本公司於賦予個人資料存取權限時,僅開放業務需求之最小權限,並實施權責區隔與獨立性審查。

    5. 個人資料蒐集之特定目的消失或保存期限屆滿時,本公司將主動或依當事人之請求,刪除、停止處理或利用相關個人資料。但因執行法定職務或業務所必須或經當事人書面同意者,不在此限。

    6. 本公司每年定期辦理個人資料保護宣導教育訓練,以提升全體人員個人資料保護安全意識。

    7. 若有發生違反個人資料保護法或相關規範之個資事件,本公司將立即進行緊急通報應變作業,並依相關法規與本公司人事規章辦理懲處。

    陸、當事人權利

    本公司依循個人資料保護法及相關規範要求,提供當事人針對其個人資料行使以下權利:
    1. 查詢或請求閱覽。

    2. 請求製給複製本。

    3. 請求補充或更正。

    4. 請求停止蒐集、處理或利用。

    5. 請求刪除。

    但本公司因執行法定職務或業務所必須者,本公司得拒絕之。此外,若執行上述權利時,將可能導致影響當事人相關權益。

    柒、個人資料保護聯繫管道

    本公司個人資料保護業務公開作業之聯絡方式,詳列於本公司全球資訊網/個人資料管理政策網頁。

    捌、參考依據

    1. 個人資料保護法。

    2. 個人資料保護法施行細則。