1. 資訊安全政策:
1.1 資訊安全願景:
鼎元光電科技股份有限公司(以下簡稱本公司),為強化資訊安全管理,確保企業資料、系統、設備及網路安全,核心業務相關資訊財產的機密性、完整性及可用性,以提供資訊系統持續運作之資訊安全環境,並符合相關法規之要求,免於遭受內、外部的蓄意或意外之威脅,或內部人員不當之管理使用,導致資料遭受竄改、揭露、破壞或遺失等風險,特定此政策規範。
1.2 資訊安全目標:
| 1.2.1 | 確保核心業務的資料安全性、服務及資料的完整性、服務的持續運作。 | |
| 1.2.2 | 落實使用者平臺開發及維護、機房管理、委外管理之管理辦法與標準作業程序。 | |
| 1.2.3 | 資訊安全全景與範圍應對應公司重要業務流程之要求與維運持續。 | |
| 1.2.4 | 定期實施資訊安全事項教育宣導,推廣同仁資訊安全觀念與強化相關資訊安全責任之認知。 | |
| 1.2.5 | 員工依據各管理辦法及作業程序書進行作業,以維持本公司正常運作。 | |
| 1.2.6 | 資訊業務活動執行須符合相關法令或法規之要求。 | |
| 1.2.7 | 實施定期監控與資訊安全內部稽核制度,確保資訊安全管理落實執行於日常維運及業務活動。 | |
| 1.2.8 | 本政策至少每年經「資訊安全委員會」評估一次,以符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 |
1.3 資訊安全管理架構:
由總經理為召集人,並指派資訊單位負責統籌資訊安全及相關事宜,並由稽核室依稽核計劃進行內部稽核。
1.3.1 資訊安全管理委員會組成:
主任委員
成員:由總經理擔任
職責:1. 擔任資訊安全管理系統之驗證代表。
2. 督導資訊安全管理系統之核準及實施。
委員
成員:由主任委員指定主管擔任
職責:資訊安全規範審核或決策
執行秘書
成員:由資訊單位最高主管擔任
職責:規劃及指派安全預防和危機處理小組成員
資訊安全稽核小組
成員:由稽核單位主管擔任
職責:1. 訂定相關之稽核計畫、執行稽核作業。
2. 稽核資訊安全業務。
3. 辦理內部稽核。
4. 提出稽核報告及相關建議事項。
5. 複查稽核報告不符合事項之矯正措施。
安全預防小組
成員:由執行秘書指派相關業務資訊單位人員擔任
職責:1. 負責收集或訂定資訊安全政策。
2. 宣導資訊安全。
3. 訂定系統安全。
4. 建置資訊安全措施。
危機處理小組
成員:由執行秘書指派相關業務資訊單位人員擔任
職責:1. 負責危機處理程序。
2. 查明危機事件原因。
3. 確認影響範圍並作損失評估。
4. 執行緊急應變計畫。
5. 執行解決辦法。
6. 辨理危機通報。
2. 具體管理方案:
| 2.1 | 本公司高階主管積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。 | |
| 2.2 | 提供員工資訊安全訓練課程,提昇員工資訊安全認知。 | |
| 2.3 | 辦理資訊業務委外作業時,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期予以查核。 | |
| 2.4 | 所有員工皆應遵守本公司資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。 | |
| 2.5 | 保護本公司業務活動資訊,避免未經授權的存取與修改,以確保其正確完整性。 | |
| 2.6 | 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。 | |
| 2.7 | 確保公司資訊安全,網際網路端架設入侵防護服務,阻絕網路型病毒及入侵攻擊,及透過企業防火牆的建置,進一步阻擋病毒及入侵攻擊於公司內部網路之前。 | |
| 2.8 | 為防範電腦病毒之侵襲,企業使用之電腦設備安裝防毒程式,並定期更新相關病毒碼及掃毒引擎及更新作業系統漏洞修正程式。 | |
| 2.9 | 落實企業營運系統資料備份、保存及備份資料可用性測試。 |