資通安全政策
一、目的
為強化華鎂鑫科技股份有限公司(以下簡稱「本公司」)資訊安全管理,確保所屬各項資產、資訊的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,訂定本政策。
二、適用範圍
(一) 本政策適用範圍為本公司全體同仁、委外服務廠商與訪客等。
(二) 資訊安全管理範疇涵蓋以下領域,避免因人為疏失、蓄意或天然災害等因素,導
致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險
及危害,管理事項如下:
1.資訊安全政策訂定與評估。
2.資訊安全組織建立及運作。
3.資訊資產分類分級與管制。
4.資訊安全風險管理。
5.人員安全管理與教育訓練。
6.實體與環境安全。
7.通訊與作業安全管理。
8.存取控制安全。
9.相關法規與施行單位政策之符合性。
三、目標
為維護本公司資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。藉由本公司全體同仁共同努力以達成下列目標
(一)保護本公司各項業務、服務之資訊安全,確保資訊需經授權人員才可存取資訊,
以確保其機密性。
(二)保護本公司各項業務、服務之資訊安全,避免未經授權的修改,以確保其正確性
與完整性。
(三)確保本公司各項業務、服務等之執行,須符合相關法規之要求。
四、資訊安全組織
本公司依「公開發行公司建立內部控制制度處理準則」第九條之一規定,設置資訊安全主管及至少一名資訊安全人員,負責資訊安全制度之規劃、監控、及執行資訊安全維護作業,並持續強化資訊安全概念。
五、持續改善架構
以PDCA(Plan-Do-Check-Act)循環式管理,確保目標達成且持續改善。
Plan:制定資通安全政策及設置資訊安全組織
Do:人員教育訓練及資安作業導入執行
Check:資安風險檢測及資訊安全內部稽核
Act:資訊安全措施改善檢討
並且以證券交易所協助上市公司強化資安防護及管理,所發布「上市上櫃公司資通安全管控指引」做為公司改善循環基礎。
六、資訊安全的建置
與執行狀況
類型 執行狀況
抵禦外部威脅 1.配置網路防火牆與設定存取規則。
2.員工電腦、伺服器加裝防毒軟體,並定期更新偵測病毒軟體
之版本。
3.機敏性資料定期備份保存。
資料存取管控 1.系統存取控制、發展及維護安全管理。
2.設定資料夾存取權限,並且資料加密。
營運持續計畫 1.由行政管理部負責,統籌資訊安全管理相關事項推動。
2.外包專業電腦資訊廠商做維護服務。
3.每月定期維護掃毒公司電腦設備、網路設備及伺服器。
4.本公司人員應遵守公司資訊或保密安全規範。
5.本公司供應商、協力廠商及委外服務廠商應遵守本公司資訊
安全規範約定。
6.定期審查特權帳號、使用者帳號及權限,停用久未使用之帳
號。
7.每日定時備份資料至NAS(網路附接儲存裝置)。
資安事件處理 1.不定期執行資訊安全宣導作業,強化員工資安意識。
2.發現資安事件時,應通報資安連絡人。
3.任何危及資訊安全之行為,將視情節輕重追究其民事、刑事
及行政責任或依本公司之相關規定進行議處。
七、資訊安全風險管
理架構
本公司強化資訊安全管理,確保所屬資訊資產之機密性、完整性及可用性,以提供本公司之業務持續運作之資訊環境,不定期進行資安稽核,並就發現事項擬訂改善措施,且定期追蹤改善情形。
八、實施
本政策訂立及修改經董事長核准通過後實施,後續資訊安全管理作業之訂立由董事長核准後實施,修正時亦同。