一、政策目的
華星光通股份有限公司(以下簡稱本公司)為建立安全、可信賴且可持續運作之資訊作業環境,確保公司資訊資產之機密性、完整性、可用性及相關法令遵循,並支援公司營運發展與服務品質提升,特訂定本資訊安全政策宣告,作為資訊安全管理及持續改善之依據。二、適用範圍
本政策適用於本公司全體員工、約聘人員、實習人員、委外服務提供者、供應商及其他因業務需要接觸本公司資訊、系統、設備、網路或文件資料之人員。本政策除適用於公司內部資訊處理作業外,亦適用於本公司資訊系統、網路設備、雲端服務、網站及相關資料之蒐集、處理、傳輸、儲存與保護作業。
三、政策聲明
本公司資訊安全管理應參考 ISO/IEC 27001 管理精神,結合風險導向管理、法規遵循、權責分工及持續改善機制,確保資訊安全管理制度有效運作。本公司宣示「資訊安全,人人有責」,凡接觸公司資訊資產、資訊系統及相關服務之人員,均有責任共同維護資訊安全。
四、資訊安全目標
- 保障公司資訊硬體設施及智慧財產之安全。
- 避免公司營運資訊及業務機密外洩。
- 維護資訊系統穩定運作,降低中斷及損害風險。
- 強化全體同仁資訊安全認知與責任,落實日常管理要求。
- 遵循個人資料保護、營業秘密及其他相關法令規定。
五、資訊安全承諾與管理要求
- 公司承諾建立完整之資訊資產管理制度,包含硬體設備、系統與儲存媒體之盤點、標識、使用與報廢控管,並採取適當之實體與技術性防護措施,以保障公司資訊硬體設施及智慧財產之安全。
- 公司承諾對營運資訊及業務機密實施分級管理與存取控制,採行最小權限、保密要求及必要之資料保護措施,避免公司營運資訊及業務機密外洩。
- 公司承諾建立系統維運、備份復原、異常通報及緊急應變機制,妥善管理變更與維護作業,以維護資訊系統穩定運作,降低中斷及損害風險。
- 公司承諾明確規範各級人員之資訊安全責任,並定期辦理資訊安全認知宣導與教育訓練,將資訊安全要求落實於日常作業管理,以強化全體同仁資訊安全認知與責任。
- 公司承諾遵循個人資料保護、營業秘密及其他相關法令規定,訂定並持續更新資訊安全管理規範,並透過檢查、稽核與改善機制確保各項作業符合法令及公司要求。
六、文件審查與持續改善
本政策應定期檢討,並依公司業務發展、法令要求、技術變化及風險情勢適時修訂,以確保資訊安全管理制度之適切性、有效性及持續改善。本政策經核准後施行,修正時亦同;相關內容應以適當方式向公司同仁及相關外部人員宣達與公告。