資安政策

版本:1.5
發行日期:2025.06.12

鴻才科技股份有限公司（以下簡稱本公司）為為鞏固合作伙伴信任並確保業務永續經營，特訂定本資訊暨隱私安全政策。本政策旨在建立並落實系統性的管理規範，以強化本公司資訊處理流程、資訊設備與網路系統之安全，確保：

• 資訊資產的機密性、完整性與可用性，防止未經授權的存取、竄改與服務中斷。
• 個人資料的合法、合理使用與妥善保護，確實遵循相關法規要求。
• 培養全體同仁具備應有的資安意識與注重個人隱私的能力，將資訊暨隱私安全的實踐融入日常工作。

藉由本政策之推行，確保本公司及合作伙伴之重要資產及個人隱私資料，免於內外部各式威脅所導致的干擾、破壞、入侵或洩漏等風險。

本公司所有員工、承包商、業務合作夥伴。

為建構本公司資訊暨隱私安全環境，強化資訊系統及各項資通訊設備、網路通訊安全管理，防止資訊或資訊系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以及訓練員工在行政作業流程面上保持高度的個人隱私的重視，建立全方位資訊暨隱私安全防護措施，提供本公司業務持續運作之安全作業環境與對個人隱私權利的保護機制，以符合相關法規及內、外部關注方之資訊暨隱私安全期望與要求，特訂定本公司資訊暨隱私安全政策如下：

1. 一、導入符合國家或國際標準之資訊暨隱私安全之管理制度。
2. 二、成立跨部門之資訊暨隱私安全管理組織，負責本公司資訊暨隱私安全管理制度之建立、推動、監督審查及持續改善。
3. 三、建立資訊安全暨隱私風險管理機制，定期因應內外部資訊暨隱私安全情勢變化，檢討資訊暨隱私安全風險管理之有效性。
4. 四、因應資訊暨隱私安全威脅情勢變化，辦理資訊暨隱私安全教育訓練，以提高本公司同仁之資訊暨隱私安全意識，本公司同仁應確實參與訓練。
5. 五、訂定資訊暨隱私安全事件通報及應變機制，落實資訊暨隱私安全事件通報之作業流程。
6. 六、為了促使本公司ISMS、PIMS能貫徹執行、有效運作、監督管理、持續進行，維護本公司資訊安全管理與保有之個人隱私資料的適當安全措施，特頒布本資訊暨隱私安全政策。旨在讓同仁於日常作業時有明確的指導原則，所有同仁皆有義務積極參與推動資訊暨隱私安全政策，以確保本公司職員所持有或管理之個人資訊資產、隱私資料相關安全維運，並期許全體同仁均能了解、實施與維持，以達資訊暨隱私保護的目標。
7. 七、提升全體同仁的資訊暨隱私安全意識與責任感，所有同仁皆有責任保護其經手、保管及使用的公司資訊資產，並應本著「最小權限原則」與「公務使用原則」存取資訊。
8. 八、要求全體同仁僅基於合法目的蒐集最少且必要之個人資料，並僅基於合理之利用目的最短且必要的需求保存個人資料，不會處理多餘的個人資料。

1. 一、維持本公司核心業務之資訊系統及個人隱私安全的ISO27001及ISO27701本文之有效性。
2. 二、為了降低本公司之資訊暨隱私風險以及將資訊暨隱私風險可視化，每年應執行至少一次全景評鑑、資產清查、風險評鑑。
3. 三、資訊暨隱私事件發生時應在自發現後的1小時內完成通報專責單位的負責人，並依照事件等級於規定時限內完成修復或損害控管，如服務合約有另行規定者以合約內容為主。
4. 四、確保本公司職員所持有或管理之資訊資產安全維運，並確保個人隱私資料的保護滿足各項法律及ISO27001、ISO27701本文之要求。
5. 五、確保隱私安全管理工作，提供個人資料當事人對於其個人資料所擁有之權益。
6. 六、資訊暨隱私安全教育訓練：
   1. 1.資訊暨隱私安全專責人員每年至少接受6小時之資訊暨隱私之專業課程訓練。
   2. 2.系統開發部人員每年至少接受2小時之資訊暨隱私專業課程訓練。
   3. 3.工程部人員除資訊暨隱私安全專責人員外，每年至少接受1小時之資訊暨隱私專業課程訓練。
   4. 4.全體員工每年至少接受2小時資訊暨隱私通識課程訓練。

1. 1.本政策應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，以確保本公司資訊暨隱私安全實務作業之可行性、適用性及有效性。
2. 2.本公司應考量內、外部議題及利害相關者要求，訂定適當之資訊暨隱私安全管理制度實施範圍，經由管理階層審核、確認後發布、實行與追蹤。

1. 1.本政策經資訊暨隱私安全長核定後施行，並在「HTTC差勤及專案管理系統」中公告，公告後亦將本資訊暨隱私安全政策公布於公司官方網站，修正時亦同。
2. 2.本公司對於資訊暨隱私安全表現之獎懲，依據獎懲辦法規定辦立。
   1. 2.1 獎勵：對於在資訊暨隱私安全工作中表現優異、積極防範資訊暨隱私安全事件、主動發現並解決隱患之員工，給予相應獎勵。
   2. 2.2 懲處：對於未能遵守資訊暨隱私安全規範、導致資訊暨隱私安全事件發生或未能及時應對安全威脅的員工進行懲處。