跳到主要內容區塊

哈瑪星科技全球資訊網-中文網

關於哈瑪星

Art editor Img

資訊安全管理政策

壹、目的

哈瑪星科技股份有限公司(以下簡稱本公司)為維護整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性及可用性,並建立安全及可信賴之作業環境,確保資料安全、系統安全、設備安全及網路安全,保障本公司同仁與相關內、外部人員之權益,特訂本政策。

 

貳、適用範圍

一、本政策適用於本公司全體員工及委外人員

二、為避免人為疏失、蓄意或天災害等因素,導致資料不當使用、洩露、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,應考量管理下列事項:

1. 資訊安全政策制定及評估。

2. 組織的資訊安全與分工。

3. 人力資源安全。

4. 資產與風險管理。

5. 存取控制。

6. 加密機制。

7. 實體及環境安全。

8. 作業安全管理。

9. 通訊安全管理。

10. 資訊系統取得、開發及維護。

11. 供應商管理。

12. 資訊安全事件管理。

13. 營運持續管理。

14. 遵循性。

 

參、名詞定義

無。

 

肆、目標

一、維護本公司資訊之機密性、完整性及可用性,包括:

1. 保護本公司業務資訊,避免未經授權的存取。

2. 保護本公司業務資訊,避免未經授權的修改,確保其正確完整。

3. 建立資訊業務永續計畫,確保本公司業務之持續運作。

二、本公司之業務執行須符合相關法規要求。

 

伍、原則

一、所有同仁應充分了解本政策之目的及其職責。

二、部門主管對於本政策及相關作業規範之遵循,應負監督、執行、稽核之職責。

三、公司之資訊資產應定期盤點、分類分級,針對重要資訊資產進行風險評鑑,並據以實施適當防護措施。

四、所有同仁和委外廠商,均須依規定程序及指定措施辦理資訊業務。

五、所有同仁及委外廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。

六、任何危害資訊安全之行為人員,視情節輕重追究其民事、刑事及行政責任與相關懲處。

七、定期審查資訊安全管理制度之有效性。

 

陸、審查

一、本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保維持營運和提供服務之能力。

二、本公司應考量內、外部議題及利害相關者要求,訂定適當之資訊安全管理制度實施範圍,經由管理階層審核、確認後實行。

三、資訊安全管理制度實施範圍應定期或不定期視內、外部環境之變更或執行狀況,如:法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素,於管理審查會議進行檢視調整,瞭解利害關係者之需求及期望,如下表所示。

表一:瞭解利害關係者之需求及期望

內部議題 外部議題 利害關係者 利害關係者要求 備註
組織政策、目標 主管機關要求 主管機關 各項法令、法規  
政府單位要求 政府單位 各項法令、法規  
組織文化 N/A 內部人員 組織內部規範  
相關資源需求(包括:人力、技術、預算等) N/A 內部人員 訓練  
高階主管 績效(KPI)  
資訊安全事件資訊技術 客戶 合約內容(SLA)  
供應商 合約內容  
ISO國際標準 ISO國際組織 ISO 27001  
第三方稽核單位  

 

柒、實施

本政策經資訊安全長核定後實施,得以書面、電子或其他方式通知同仁、與本公司業務有關機關(構)及提供資訊服務之廠商,修正時亦同。