資安管理政策

一、政策目標

和亞智慧科技深知資訊安全對於業務運作、客戶信任以及企業永續的重要性。為保障公司資訊資產及維護客戶資料的機密性、完整性與可用性,我們訂立以下資訊安全管理政策,並要求全體員工共同遵循。

二、適用範圍

本政策適用於和亞智慧科技全體員工、外包人員、合作夥伴及相關第三方,涵蓋公司內部系統、設備、資料及對外合作項目中的資訊安全管理活動。

三、基本原則

  1. 機密性:確保資訊僅授權人員可存取,防止未經授權的揭露。
  2. 完整性:保護資訊避免未經授權的修改或損毀,維持準確性與可靠性。
  3. 可用性:確保必要時資訊與系統可供使用,支持業務持續運作。

四、管理措施

  1. 組織架構與責任
  • 成立資訊安全管理小組,負責政策制定、執行與定期審查。
  • 明確定義員工在資訊安全中的角色與責任。
  1. 風險評估與控制
  • 定期進行資安風險評估,辨識威脅與弱點。
  • 根據風險評估結果,採取適當的控制措施降低風險。
  1. 存取控制
  • 實行基於職務需求的存取控制,避免過度授權。
  • 採用多因素驗證(MFA)技術提升系統安全性。
  1. 資產管理
  • 建立資訊資產清單,分類並指定資產負責人。
  • 定期審查資產使用情況,確保其受到適當保護。
  1. 教育與訓練
  • 提供定期資安意識培訓,提升全員安全防護意識。
  • 與外部合作夥伴分享資安要求,確保共同遵循。
  1. 事件管理與回應
  • 設置資安事件通報機制,確保事件能迅速被發現、通報與處理。
  • 制定資安事件應變計畫,減少對業務的衝擊。
  1. 合規與稽核
  • 遵守相關法規(如上市上櫃公司資通安全管控指引等)。
  • 定期進行內部與外部稽核,驗證資安政策執行情況。

五、持續改進

和亞智慧科技承諾持續改進資安管理體系,透過技術更新、流程優化與員工意識提升,確保資訊安全水準與業務需求同步成長。

六、政策審核與更新

本政策每年至少審查一次,或根據業務變化與新興威脅隨時修訂,以確保其適用性與有效性。

七、政策發布

此政策經由和亞智慧科技高層核准後發布,並向全體員工、合作夥伴及相關利害關係人公佈。