資訊安全政策
日揚科技股份有限公司
資訊安全政策
一、目的 :
日揚科技股份有限公司為強化資訊安全,確保所屬之資訊資產的機密性、完整性、可用性與個人資料之要求,
以提供本公司之資訊業務持續運作之資訊環境,並符合相關法令、法規之要求,使其免於遭受內、外部蓄意
或意外之威脅,特定此資訊安全政策規範,提供公司全體同仁共同遵循。
二、目標
為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。
期藉由本公司全體同仁共同努力以達成下列目標:
1、保護本公司營運活動資訊,避免未經授權的存取,以確保其機密性。
2、保護本公司營運活動資訊,避免未經授權的修改,以確保其正確性與完整性。
3、制訂、推動、實施及評估改進資訊安全管理事項,確保本公司具備可供營運持續運作之資訊環境。
4、辦理資訊安全教育訓練,推廣資訊安全之意識與強化其對相關責任之認知。
5、執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
6、實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
7、建立本公司營運持續運作計畫,以確保本公司營運服務之持續運作。
8、本公司之各項營運活動執行須符合相關法令或法規之要求。
三、適用範圍
本政策適用於本公司各單位之全體同仁、約聘人員、委外廠商、往來廠商、
第三方人員以及所有相關資訊資產之安全管理。
四、名詞定義
1、資訊安全(Information Security):避免因人為疏失、蓄意或自然災害等風險,運用系統化之控制措施,包含
政策、實施、稽核、組織和軟硬體功能等,以保護公司資訊資產的機密性、完整性、可用性與個人資料之安全。
2、資訊資產:凡本公司資產,如人員、文件、電子文件、服務設施、網路設施、通訊設施、軟體、硬體、媒體
、保護設施等皆屬之。
3、機密性(Confidentiality):確保只有獲得授權的人員及程式才能存取資訊。
4、完整性(Integrity):確保資訊與處理方式精確性及完整性。
5、可用性(Availability):確保獲得授權的使用者在需要時可以用相關資訊資產。
6、個人資料(Personal Data):確保組織內個人資料之保護必須遵守法令法規之要求。
五、資訊安全管理事項
資訊安全管理涵蓋10項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破 壞等情事發生,對本公司帶來各種可能之風險及危害。
1、資安政策制定與評估。
2、資訊安全組織及權責 。
3、資訊資產之安全管理。
4、人員管理及教育訓練。
5、實體及環境安全管理。
6、電腦系統及網路安全管理。
7、系統存取控制安全。
8、系統發展、開發及維護之安全管理。
9、營運持續運作之規畫及管理。
10、相關法規與施行單位政策之遵循性。
以上各項管理作業事項,依據內控電子資料處理(EDP)循環管理辦法辦理。
六、責任
1、本政策經由公司管理階層建立及審查。資訊單位統籌各項資訊安全事項推動。
2、管理階層積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。
3、全體同仁、委外服務廠商與訪客等,皆須遵守本政策及作業程序。
4、全體同仁均有責任透過適當通報機制,通報資訊安全事件或弱點。
5、本公司所有人員應瞭解於工作期間所有取得之資訊皆為本公司之資產,未經允許,禁止做任何其他未授權之使
用。
6、本公司與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。
7、本公司人員若有任何違反資訊安全政策之行為,將依本公司之相關規定進行懲處,並視情節輕重追究其民事、刑
事及行政責任。