資訊安全政策

  • 2025-07-22

1.目的:

為保持資訊資產之機密性、完整性及可用性,並符合法令要求,以免遭受蓄意或意外之威脅,終達保障所屬同仁與客戶之權益,訂定本政策為公司推動ISO 27001相關管理程序之參考依據。

2.適用範圍:

資訊安全管理制度所涵蓋包含總公司及中園廠,實施系統開發、測試;辦公室資訊系統與網路維護(ADEMAILNAS、防火牆);以及機房作業管理。

3.資訊安全政策:

3.1促使河洛半導體各項資訊安全管理系統能貫徹執行、有效運作、監督管理、持續進行,維護河洛半導體重要資訊系統的機密性、完整性與可用性,特頒布此一資訊安全政策。

3.2本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁均有義務積極參與推動資訊安全政策,以確保資訊系統、設備及網路之安全維運,並期許全體同仁均能瞭解、實施與維持,以達資訊持續營運的目標。

「落實資安管理,確保持續營運」;

「加強資安訓練,提升服務品質」;

「做好緊急應變,迅速災害復原」。

3.3落實資安管理,確保持續營運

由全體同仁貫徹資訊安全管理系統(ISMS),落實PDCA的執行,持續進行監控、審查及稽核各式資訊系統,確保其機密性、完整性及可用性;保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,並以風險管理為架構,瞭解資產威脅與弱點,選擇適切的保護措施,將風險降至可接受程度,建構安全網路環境,達持續營運之目標。

3.4加強資安訓練,提升服務品質

每年持續進行適當的資訊安全訓練,建立「資訊安全,人人有責」的觀念,提高同仁資訊安全意識與智能,加強應變能力,以提升服務品質。

3.5做好緊急應變,迅速災害復原

訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資訊系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。

4.目標:

執行資訊安全管理制度需達成之資訊安全目標,依據『資訊安全目標管理程序』之相關規定辦理。

5.責任:

5.1 管理階層應建立及審查此政策。

5.2 資訊安全管理者透過適當的程序文件以實施此政策。

5.3 所有人員與合約供應商,須依照程序以維護資訊安全管理政策。

5.4 所有人員有責任報告安全事件,和任何已鑑別出的弱點。

5.5 任何蓄意違反資訊安全的行為,將受到相關規範或法律行動。

6.審查:

6.1 資安政策每年應至少評估檢討一次,以反映組織資訊安全需求、政府法令法規、外在網路環境變化及資安技術等最新發展現況,以確保其對於維持營運和提供適當服務的能力。

6.2 如遇重大改變時應立即審查,以確保其適當性與有效性;必要時應告知相關單位及合作廠商,以利共同遵守。

7.實施:

經資安長擬定,董事長核准,於公告日施行,並以書面、電子或其他方式通知本單位所屬同仁及與本單位連線作業之有關機關、供應商與客戶,修正時亦同。