目的

為確保華鉅網路股份有限公司(以下簡稱本公司)之資訊資產的機密性、完整性、可用性及法律遵循性，保護業務安全，避免未經授權的存取、修改及破壞，維護企業永續經營，特訂定本政策。

適用範圍

2-1 本政策適用於本公司之全體員工、外部廠商及訪客。
2-2 為避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，本公司資通安全管理範疇涵蓋「組織」、「人員」、「實體」及「技術」等四大面向控制措施，以因應本公司造成各種可能之風險。

目標

3-1 保護本公司業務安全，避免未經授權的存取，以確保資訊資產的機密性，並保障使用者資料隱私。
3-2 保護本公司業務安全，避免未經授權的修改，以確保資訊資產的正確性與完整性。
3-3 依照ISO 27001要求，進行風險管理，落實品質管理循環（PDCA）精神，以持續改善資訊安全管理系統（ISMS）之有效性。
3-4 建立本公司之業務持續運作計畫，以確保本單位業務服務之持續運作。
3-5 確保本公司之各項業務服務之執行須符合相關法規之要求。

責任

4-1 本公司應成立資通安全組織統籌資通安全事項推動。
4-2 管理階層應積極參與及支持資通安全管理制度，並透過適當的標準和程序以實施本政策。
4-3 本公司全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。
4-4 本公司全體同仁、委外服務商及資料使用者(含保管者)均有責任透過過當通報機制,通報資通安全事件或弱點。
4-5 任何危及資通安全之行為，將視情節輕重追究其民事、刑事責任，或依本公司之相關規定進行議處。

管理指標

5-1 為評量資通安全管理目標達成情形，本公司應訂定相關管理指標，並定期監控、評估及改善。
5-2 應定期審查本公司資通安全組織人員執掌，以確保資通安全工作之推展。
5-3 應符合主管機關之要求，依員工職務及責任提供適當之資通安全相關訓練。
5-4 應加強本公司資訊資產之環境安全，採取適當之保護及權限控管機制。
5-5 應確保資訊不被透漏給未經授權之第三者。
5-6 應加強存取控制，防止未經授權之不當存取，以確保本公司資訊資產已受適當之保護。
5-7 本公司資訊系統開發應考量安全需求，並定期稽核安全弱點。
5-8 應確保所有資通安全事件或可疑之安全弱點，均依循適當之通報機制向上反應，並予以適當調查及處理。

管理審查

6-1 每年至少進行一次管理審查，確保政策的有效性。
6-2 當組織或業務發生重大改變時，應主動進行政策更新。

聲明

資訊為企業重要資產，應以嚴謹的資通安全管理措施加以保護，防止因內外部威脅導致資料洩漏或損害。

實施

本政策經本公司「資通安全管理委員會」核定後實施，修訂時亦同。