興創知能 股份有限公司

資訊安全政策

目的 

興創知能股份有限公司為強化各項業務之資訊安全暨 管理品質,確保本公司資訊資料、系統、設備及網路之資訊安全,提供 永續之服務,並建立資訊安全管理制度,特訂定「資訊安全政策」。

依據

本政策係依據最新版 ISO/IEC 27001 資訊安全管理系統之國際標準制度所訂定。

適用範圍

一、 適用於本公司資訊安全管理制度(Information Security Management System, ISMS) 之維運與管理。
二、 本公司所有單位如有涉及資訊服務需求者,全體人員皆應遵守本政策及相關資訊安全管理程序、規範與安控措施等,以落實資訊安全。

權責

一、 本政策之評估與制、修訂,應由資訊安全推動小組負責辦理,並簽陳召集人或其授權人員核定。
二、 資訊安全推動小組應每年納入管理審查會議評估本政策,以反映政府法令、新興技術及本公司業務等最新發展現況,確保資訊安全實務與資訊業務管理之有效性。

定義

一、 全體人員
係指本公司全體同仁、集團關係企業同仁、顧問、約聘僱人員、派遣人員、工讀生、訪客、委外廠商、往來廠商及任何涉及前揭相關資訊資產之人員均屬之。
二、 資訊安全
防止資訊系統遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性並保障本公司營業機密及客戶資料隱私。
三、 機密性(Confidentiality, C)
任何儲存、處理中、傳輸中之資料均需要保護,以維持其機密性,如機密資訊(包括電子檔或紙本)要有適當的保護,以防止非法存取另稽核紀錄保有重要活動的詳細
資料亦要妥善保護,僅授權予適當人員存取。
四、 完整性(Integrity, I)
任何儲存、處理中、傳輸中的資料均需要保護,以防止不當竄改、操縱或破壞毀損,如重要資訊要有適當的保護,以防止非法變更。
五、 可用性(Availability, A)
確保資訊系統持續運轉,當合法使用者要求使用時,均可在適當時間內獲得回應,完成服務需求,並與機密性及完整性配合考量,以符合既定之目標
例外:當線上資訊加密或記錄稽查資料將會影響系統回覆時間或阻斷服務,可能造成無法符合可用性之目標時應考量其他有效做法。

內容

一、 資訊安全目標
(一) 為維護本公司資訊資產之機密性、完整性及可用性,保障本公司營業機密及客戶資料,全體人員應共同努力達成下列目標:
1. 保護本公司業務活動資訊,避免未經授權之存取與修改,以確保其機密、正確與完整。
2. 成立專責之資訊安全組織,負責本公司資訊安全管理制度之制訂、推動與實施,並評估及改進資訊安全管理事項以確保本公司具備可供業務持續運作之資訊環境。
3. 定期舉辦資訊安全教育訓練,推廣全體同仁資訊安全意識與強化其對相關資訊安全責任之認知。
4. 執行資訊安全風險評估機制,提升資訊安全管理之有效性。
5. 定期實施資訊安全內部稽核,以確保資訊安全管理之落實執行與持續改善。
(二) 資訊安全目標應依規劃期間進行量測並登載結果,確認其有效性,且於管理審查會議時陳報,每年至少進行檢討或修訂一次。

二、興創知能資訊安全政策聲明
活用科技,落實資安,緊急應變,永續經營

三、資訊安全管理事項
資訊安全管理制度涵蓋下列各管理事項,資訊安全政策訂定與評估、資訊安全組織、人力資源安全、資訊資產管理、存取控制、密碼學、實體及環境安全、運作安全、通訊安全、系統獲取開發及維護、供應者關係、雲端服務安全、威脅情資管理、資訊安全事故與監控管理、營運持續管理之資訊安全層面及 ICT 備妥性 、 緊急應變計畫、 遵循性 、隱私保護等。

四、 資訊安全政策宣導
定期宣導資訊安全政策及相關訊息,提升全體人員的資訊安全觀念與責任,公司業務的專案管理中宣導資訊安得納入風險管理與危機管理。
五、 資訊安全工作推行
賦予資訊安全推動組織之任務、權責與分工原則,以確保本公司資訊安全管理制度由上而下之觀念傳達角色分工與責任的分派,以健全本公司之資訊安全管理制度。