生效日期：2016年12月18日

​

海迪股份有限公司 資訊安全政策

​

目的

海迪股份有限公司（以下簡稱本公司）為確保資訊資產之機密性、完整性與可用性，並防範內外部蓄意或意外之威脅，特依本公司業務需求訂定本政策。

​

範圍

本政策適用於本公司之資訊處理相關作業流程與環境，包含組織、人員、實體、技術等各項控制範疇。

 

適用對象

1. 本公司全體人員、與本公司有業務往來之廠商及其員工、臨時雇員等，皆應遵守本政策及相關管理機制之規範與程序。
2. 上開人員若違反資訊安全相關規定，應依公司管理規則議處或相關合約協議辦理。

 

資訊安全目標

1. 確保本公司資訊資產之機密性，落實資料存取控制，資訊需經授權人員方可存取。
2. 確保本公司資訊作業管理之完整，避免未經授權之修改。
3. 確保本公司資訊作業之持續運作。
4. 確保本公司同仁具有資訊安全認知。
5. 確保本公司遵循利害相關團體對資訊安全相關要求事項。

​

資訊安全控制措施

1. 應建立資訊安全組織相關控管措施，以推動及維持資訊安全管理體系的各項管理、執行與查核工作。透過這些措施，確保所有資訊與資訊資產獲得適當保護，並持續改進系統的有效性。
2. 應落實人員相關控管措施，明確指派與傳達資訊安全相關角色的責任及權限。同時確保人員具備相應的工作認知與能力，了解其責任與義務，並妥善區分職務責任範圍。
3. 應執行實體相關控管措施，確保工作場所安全，防範資訊資產遭竊取或毀損。
4. 應實施技術相關控管措施，有效管理資訊安全弱點所造成之風險。
5. 管理階層應承諾維護資訊安全，持續提升安全品質，降低資安事故發生率，以保障客戶權益。
6. 應將資訊安全相關議題納入資訊作業專案管理中。
7. 應依本資訊安全政策之範圍，制定相關管理要點與規範，作為資訊安全管理之依據。

 

年度審查

本政策每年至少審查一次，以符合相關法令規定及資訊業務最新發展現況，並於必要時修正之。