一、政策目標
和亞智慧科技深知資訊安全對於業務運作、客戶信任以及企業永續的重要性。為保障公司資訊資產及維護客戶資料的機密性、完整性與可用性,我們訂立以下資訊安全管理政策,並要求全體員工共同遵循。
二、適用範圍
本政策適用於和亞智慧科技全體員工、外包人員、合作夥伴及相關第三方,涵蓋公司內部系統、設備、資料及對外合作項目中的資訊安全管理活動。
三、基本原則
- 機密性:確保資訊僅授權人員可存取,防止未經授權的揭露。
- 完整性:保護資訊避免未經授權的修改或損毀,維持準確性與可靠性。
- 可用性:確保必要時資訊與系統可供使用,支持業務持續運作。
四、管理措施
- 組織架構與責任
- 成立資訊安全管理小組,負責政策制定、執行與定期審查。
- 明確定義員工在資訊安全中的角色與責任。
- 風險評估與控制
- 定期進行資安風險評估,辨識威脅與弱點。
- 根據風險評估結果,採取適當的控制措施降低風險。
- 存取控制
- 實行基於職務需求的存取控制,避免過度授權。
- 採用多因素驗證(MFA)技術提升系統安全性。
- 資產管理
- 建立資訊資產清單,分類並指定資產負責人。
- 定期審查資產使用情況,確保其受到適當保護。
- 教育與訓練
- 提供定期資安意識培訓,提升全員安全防護意識。
- 與外部合作夥伴分享資安要求,確保共同遵循。
- 事件管理與回應
- 設置資安事件通報機制,確保事件能迅速被發現、通報與處理。
- 制定資安事件應變計畫,減少對業務的衝擊。
- 合規與稽核
- 遵守相關法規(如上市上櫃公司資通安全管控指引等)。
- 定期進行內部與外部稽核,驗證資安政策執行情況。
五、持續改進
和亞智慧科技承諾持續改進資安管理體系,透過技術更新、流程優化與員工意識提升,確保資訊安全水準與業務需求同步成長。
六、政策審核與更新
本政策每年至少審查一次,或根據業務變化與新興威脅隨時修訂,以確保其適用性與有效性。
七、政策發布
此政策經由和亞智慧科技高層核准後發布,並向全體員工、合作夥伴及相關利害關係人公佈。