哈瑪星科技全球資訊網

壹、目的

哈瑪星科技股份有限公司（以下簡稱本公司）為維護整體資訊安全，強化各項資訊資產之安全管理，確保其具機密性、完整性及可用性，並建立安全及可信賴之作業環境，確保資料安全、系統安全、設備安全及網路安全，保障本公司同仁與相關內、外部人員之權益，特訂本政策。

貳、適用範圍

1. 本政策適用於本公司全體員工及委外人員
2. 為避免人為疏失、蓄意或天災害等因素，導致資料不當使用、洩露、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害，應考量管理下列事項：
   1. 資訊安全政策制定及評估。
   2. 組織的資訊安全與分工。
   3. 人力資源安全。
   4. 資產與風險管理。
   5. 存取控制。
   6. 加密機制。
   7. 實體及環境安全。
   8. 作業安全管理。
   9. 通訊安全管理。
   10. 資訊系統取得、開發及維護。
   11. 供應商管理。
   12. 資訊安全事件管理。
   13. 營運持續管理。
   14. 遵循性。

參、名詞定義

無。

肆、目標

1. 維護本公司資訊之機密性、完整性及可用性，包括：
   1. 保護本公司業務資訊，避免未經授權的存取。
   2. 保護本公司業務資訊，避免未經授權的修改，確保其正確完整。
   3. 建立資訊業務永續計畫，確保本公司業務之持續運作。
2. 本公司之業務執行須符合相關法規要求。

伍、原則

1. 所有同仁應充分了解本政策之目的及其職責。
2. 部門主管對於本政策及相關作業規範之遵循，應負監督、執行、稽核之職責。
3. 公司之資訊資產應定期盤點、分類分級，針對重要資訊資產進行風險評鑑，並據以實施適當防護措施。
4. 所有同仁和委外廠商，均須依規定程序及指定措施辦理資訊業務。
5. 所有同仁及委外廠商應透過適當通報機制，報告資訊安全事件及資訊安全弱點。
6. 任何危害資訊安全之行為人員，視情節輕重追究其民事、刑事及行政責任與相關懲處。
7. 定期審查資訊安全管理制度之有效性。

陸、審查

1. 本政策至少應每年評估一次，以反映相關法令、技術及業務等最新發展現況，確保維持營運和提供服務之能力。
2. 本公司應考量內、外部議題及利害相關者要求，訂定適當之資訊安全管理制度實施範圍，經由管理階層審核、確認後實行。
3. 資訊安全管理制度實施範圍應定期或不定期視內、外部環境之變更或執行狀況，如：法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素，於管理審查會議進行檢視調整，瞭解利害關係者之需求及期望，如下表所示。

表一：瞭解利害關係者之需求及期望

柒、實施

本政策經資訊安全長核定後實施，得以書面、電子或其他方式通知同仁、與本公司業務有關機關（構）及提供資訊服務之廠商，修正時亦同。