跳到主要內容區塊
公司政策

壹、目的

哈瑪星科技股份有限公司(以下簡稱本公司)為維護整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性及可用性,並建立安全及可信賴之作業環境,確保資料安全、系統安全、設備安全及網路安全,保障本公司同仁與相關內、外部人員之權益,特訂本政策。

貳、適用範圍

  1. 本政策適用於本公司全體員工及委外人員
  2. 為避免人為疏失、蓄意或天災害等因素,導致資料不當使用、洩露、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,應考量管理下列事項:
    1. 資訊安全政策制定及評估。
    2. 組織的資訊安全與分工。
    3. 人力資源安全。
    4. 資產與風險管理。
    5. 存取控制。
    6. 加密機制。
    7. 實體及環境安全。
    8. 作業安全管理。
    9. 通訊安全管理。
    10. 資訊系統取得、開發及維護。
    11. 供應商管理。
    12. 資訊安全事件管理。
    13. 營運持續管理。
    14. 遵循性。
  3. 本公司之業務執行須符合相關法規要求。

參、適用範圍

無。

肆、目標

  1. 維護本公司資訊之機密性、完整性及可用性,包括:
    1. 保護本公司業務資訊,避免未經授權的存取。
    2. 保護本公司業務資訊,避免未經授權的修改,確保其正確完整。
    3. 建立資訊業務永續計畫,確保本公司業務之持續運作。
  2. 本公司之業務執行須符合相關法規要求。

伍、原則

  1. 所有同仁應充分了解本政策之目的及其職責。
  2. 部門主管對於本政策及相關作業規範之遵循,應負監督、執行、稽核之職責。
  3. 公司之資訊資產應定期盤點、分類分級,針對重要資訊資產進行風險評鑑,並據以實施適當防護措施。
  4. 所有同仁和委外廠商,均須依規定程序及指定措施辦理資訊業務。
  5. 所有同仁及委外廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。
  6. 任何危害資訊安全之行為人員,視情節輕重追究其民事、刑事及行政責任與相關懲處。
  7. 定期審查資訊安全管理制度之有效性。

陸、審查

  1. 本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保維持營運和提供服務之能力。
  2. 本公司應考量內、外部議題及利害相關者要求,訂定適當之資訊安全管理制度實施範圍,經由管理階層審核、確認後實行。
  3. 資訊安全管理制度實施範圍應定期或不定期視內、外部環境之變更或執行狀況,如:法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素,於管理審查會議進行檢視調整,瞭解利害關係者之需求及期望,如下表所示。

表一:瞭解利害關係者之需求及期望

內部議題

外部議題

利害關係者

利害關係者要求

 組織政策、目標

 主管機關(經濟部)要求 

主管機關(經濟部)

各項法令、法規

政府單位要求

政府單位

各項法令、法規

組織文化

N/A

內部人員

組織內部規範

相關資源需求
(包括:人力、技術、預算等)

N/A

內部人員

訓練

高階主管

績效(KPI)

資訊安全事件資訊技術

客戶

合約內容(SLA)

供應商

合約內容

ISO國際標準

ISO國際組織

ISO 27001

第三方稽核單位

柒、實施

本政策經資訊安全長核定後實施,得以書面、電子或其他方式通知同仁、與本公司業務有關機關(構)及提供資訊服務之廠商,修正時亦同。