一、 政策目的
华星光通股份有限公司(以下简称“本公司”)为建立安全、可信、且可持续运行的信息化环境,确保公司信息资产的机密性、完整性与可用性,并符合相关法律法规要求,特制定本信息安全政策。本政策旨在支持公司业务发展与服务质量提升,作为信息安全管理与持续改进的最高纲领。
二、 适用范围
人员范围: 本政策适用于本公司全体员工、约聘人员、实习生、委外服务商、供应商,以及其他因业务需要接触本公司信息、系统、设备、网络或文件资料的人员。
业务范围: 本政策除适用于公司内部信息处理作业外,亦涵盖公司信息系统、网络设备、云服务、网站及相关数据的采集、处理、传输、存储与保护作业。
三、 政策声明
本公司信息安全管理参考 ISO/IEC 27001 管理精神,结合风险导向管理、合规性管理、权责分工及持续改进机制,确保信息安全管理体系(ISMS)有效运行。
本公司宣示“信息安全,人人有责”。凡接触公司信息资产、信息系统及相关服务的人员,均有责任共同维护信息安全。
四、 信息安全目标
保障资产安全: 保护公司信息基础设施及知识产权不受侵害。
防止数据泄露: 避免公司经营信息与商业秘密外泄。
维持系统稳定: 确保信息系统稳定运行,降低业务中断及损害风险。
强化安全意识: 提升全体员工的信息安全认知与责任感,落实日常管理要求。
依法合规经营: 遵循个人信息保护、商业秘密及其他相关法律法规规定。
五、 信息安全承诺与管理要求
资产管理与物理安全: 公司承诺建立完整的信息资产管理制度,包括硬件设备、系统与存储介质的盘点、标识、使用及报废控管,并采取必要的物理与技术防护措施,保障基础设施安全。
访问控制与机密保护: 公司承诺对经营信息及商业秘密实施分级管理,遵循“最小权限原则”、保密协议及必要的数据保护措施,严防信息外泄。
运维管理与业务连续性: 公司承诺建立系统运维、备份恢复、异常通报及应急响应机制,妥善管理变更与维护作业,降低系统中断风险。
教育培训与权责落实: 公司承诺明确规范各级人员的信息安全责任,定期开展安全意识宣导与教育培训,将安全要求嵌入日常作业流程。
合规审计与持续改进: 公司承诺遵循《个人信息保护法》、《商业秘密法》等相关法律法规,持续更新管理规范,并通过检查、审计与改进机制,确保各项作业符合法规及公司要求。
六、 文件评审与持续改进
本政策应定期进行评估,并根据公司业务发展、法律要求、技术变革及风险形势适时修订,以确保信息安全管理体系的适宜性、有效性。
本政策经核准后施行,修订时亦同;相关内容应以适当方式向公司同仁及相关外部人员进行传达与公告。