資安政策

版本:1.3
發行日期:2024.12.03

鴻才科技股份有限公司（以下簡稱本公司）為強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備（包括電腦硬體、軟體、週邊）與網路系統之可靠性以及同仁對資訊安全之認知，並確保上述資源免受任何因素之干擾、破壞、入侵或任何不利之行為與企圖，特訂定本政策。

本公司所有員工、承包商、業務合作夥伴

為建構本公司資訊安全環境，強化資訊系統及各項資通訊設備、網路通訊安全管理，防止資訊或資訊系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，建立全方位資訊安全防護措施，提供本公司業務持續運作之安全作業環境，以符合相關法規及內、外部關注方之資訊安全期望與要求，特訂定本公司資訊安全政策如下：

1. 一、導入符合國家或國際標準之資通安全管理制度。
2. 二、成立跨部門之資訊安全管理組織，負責本公司資訊安全管理制度之建立、推動、監督審查及持續改善。
3. 三、建立資訊安全風險管理機制，定期因應內外在資訊安全情勢變化，檢討資訊安全風險管理之有效性。
4. 四、因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本公司同仁之資訊安全意識，本公司同仁應確實參與訓練。
5. 五、訂定資安事件通報及應變機制，落實資訊安全事件通報與應變處理。

1. 一、維持本公司核心業務之機房管理及開發流程的ISO27001有效性。
2. 二、為了降低本公司之資訊風險以及將資訊風險可視化，每年應執行至少一次全景評鑑、資產清查、風險評鑑。
3. 三、資安事件發生時應在1小時內完成通報，並依照事件等級於規定時限內完成修復或所害控管。
4. 四、資通安全教育訓練：
   1. 1.資通安全專責人員(兩員)每年至少接受十二小時以上之資通安全專業課程訓練。
   2. 2.每人每年接受三小時以上之資通安全通識教育訓練。
   3. 3.工程部資訊課教育訓練:
      1. 3.1每人每兩年至少接受三小時以上之資通安全專業課程訓練。
      2. 3.2每年接受三小時以上之資通安全通識教育訓練。
   4. 4.開發部教育訓練:
      1. 4.1.應每兩年派開發部門人力一半之人數參加至少三小時以上之資通安全專業課程訓練時數，並針對剩餘未上課之開發部人員由該部門主管指定講師進行內部專業教育訓練。
      2. 4.2開發部每人每年應接受三小時以上之資通安全通識教育訓練。

1. 1.本政策應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，以確保本公司資訊安全實務作業之可行性及有效性。
2. 2.本公司應考量內、外部議題及利害相關者要求，定訂適當之資訊安全管理制度實施範圍，經由管理階層審核、確認後實行。

1. 1.本政策經資訊安全長核定後施行，以書面、網站公告或其他方式通知員工、承包商、業務合作夥伴，修正時亦同。
2. 2.本公司對於資訊安全表現之獎懲，依據獎懲辦法規定辦立
   1. 2.1 獎勵：對於在資訊安全工作中表現優異、積極防範安全事件、主動發現並解決隱患之員工，給予相應獎勵。
   2. 2.2 懲處：對於未能遵守資訊安全規範、導致安全事件發生或未能及時應對安全威脅的員工進行懲處。