資訊安全管理政策
壹、目的
哈瑪星科技股份有限公司(以下簡稱本公司)為維護整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性及可用性,並建立安全及可信賴之作業環境,確保資料安全、系統安全、設備安全及網路安全,保障本公司同仁與相關內、外部人員之權益,特訂本政策。
貳、適用範圍
一、本政策適用於本公司全體員工及委外人員
二、為避免人為疏失、蓄意或天災害等因素,導致資料不當使用、洩露、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,應考量管理下列事項:
1. 資訊安全政策制定及評估。
2. 組織的資訊安全與分工。
3. 人力資源安全。
4. 資產與風險管理。
5. 存取控制。
6. 加密機制。
7. 實體及環境安全。
8. 作業安全管理。
9. 通訊安全管理。
10. 資訊系統取得、開發及維護。
11. 供應商管理。
12. 資訊安全事件管理。
13. 營運持續管理。
14. 遵循性。
參、名詞定義
無。
肆、目標
一、維護本公司資訊之機密性、完整性及可用性,包括:
1. 保護本公司業務資訊,避免未經授權的存取。
2. 保護本公司業務資訊,避免未經授權的修改,確保其正確完整。
3. 建立資訊業務永續計畫,確保本公司業務之持續運作。
二、本公司之業務執行須符合相關法規要求。
伍、原則
一、所有同仁應充分了解本政策之目的及其職責。
二、部門主管對於本政策及相關作業規範之遵循,應負監督、執行、稽核之職責。
三、公司之資訊資產應定期盤點、分類分級,針對重要資訊資產進行風險評鑑,並據以實施適當防護措施。
四、所有同仁和委外廠商,均須依規定程序及指定措施辦理資訊業務。
五、所有同仁及委外廠商應透過適當通報機制,報告資訊安全事件及資訊安全弱點。
六、任何危害資訊安全之行為人員,視情節輕重追究其民事、刑事及行政責任與相關懲處。
七、定期審查資訊安全管理制度之有效性。
陸、審查
一、本政策至少應每年評估一次,以反映相關法令、技術及業務等最新發展現況,確保維持營運和提供服務之能力。
二、本公司應考量內、外部議題及利害相關者要求,訂定適當之資訊安全管理制度實施範圍,經由管理階層審核、確認後實行。
三、資訊安全管理制度實施範圍應定期或不定期視內、外部環境之變更或執行狀況,如:法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素,於管理審查會議進行檢視調整,瞭解利害關係者之需求及期望,如下表所示。
表一:瞭解利害關係者之需求及期望
| 內部議題 |
外部議題 |
利害關係者 |
利害關係者要求 |
備註 |
| 組織政策、目標 |
主管機關(經濟部)要求 |
主管機關(經濟部) |
各項法令、法規 |
|
| 政府單位要求 |
政府單位 |
各項法令、法規 |
|
| 組織文化 |
N/A |
內部人員 |
組織內部規範 |
|
| 相關資源需求(包括:人力、技術、預算等) |
N/A |
內部人員 |
訓練 |
|
| 高階主管 |
績效(KPI) |
|
| 資訊安全事件資訊技術 |
客戶 |
合約內容(SLA) |
|
| 供應商 |
合約內容 |
|
| ISO國際標準 |
ISO國際組織 |
ISO 27001 |
|
| 第三方稽核單位 |
|
柒、實施
本政策經資訊安全長核定後實施,得以書面、電子或其他方式通知同仁、與本公司業務有關機關(構)及提供資訊服務之廠商,修正時亦同。