關於德晉
第一條 目的
「德晉科技股份有限公司」(以下簡稱本公司)為落實資訊安全管理,採用「規劃-落實-檢查-行動」(Plan-Do-Check-Act, PDCA)的管理模式,建立符合「ISO/IEC 27001」國際標準要求之資訊安全管理制度(Information Security Management System, ISMS)。營造可靠的資訊系統環境,落實推動資訊安全管理作業。藉由不斷革新之精神,強化資訊安全管理。
第二條 適用範圍
一、 適用於本公司系統開發作業之各項資訊資產及所有資訊使用者。
二、 資訊使用者係包含正式員工、聘僱人員、委外廠商及其他經授權使用資訊資產之人員。
三、 資訊系統包含本公司所有系統。
第三條 名詞定義
一、 資訊安全:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
二、 資訊資產:對組織有價值的任何事物,收集、產生、運用之資料以及為完成本公司業務上所需使用之相關資產,包括人員、設備、系統、資訊、資料及網路等。
三、 機密性:使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。確保只有經過授權的人才能存取資訊資產。
四、 完整性:保護資產的準確度(accuracy)和完全性(completeness)的性質。確保資訊資產其處理的前、後均為正確。
五、 可用性:經授權個體因應需求之可存取及可使用的性質。
第四條 資訊安全政策聲明內容
一、 成立「資訊安全小組」確認資訊安全管理運作之有效性。
二、 應建立資訊資產清冊,執行風險評鑑作業,針對高於可接受水準之風
險應進行風險管理,以有效降低風險,並持續落實各項管控措施。
三、 落實委外廠商管理,以確保資通服務之安全。
四、 訂定業務持續運作計劃,定期演練,並配合業務發展與組織現況持續
調整更新。
五、 建立安全、可靠的資訊系統環境,使本公司業務得以永續經營。
六、 落實資訊安全教育訓練及新進人員資安宣導,以提高員工之資安意
識。
七、 資訊安全是全體人員共同之責任,藉由不斷地檢討改進,確保本公司
資訊安全制度更臻完善。
第五條 資訊安全目標
一、 依據資訊安全政策願景,擬定資訊安全目標如下:
(一) 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其
對相關責任之認知。
(二) 保護本公司業務活動資訊,避免未經授權的存取與修改,確
保其正確完整。
(三) 定期進行稽核作業,確保相關作業皆能確實落實。
(四) 應針對上述資訊安全目標,擬定年度待辦事項、所需資源、
負責人員、預計完成時間以及結果評估方式與評估結果,相關監
督與量測程序。
(五) 資訊安全小組應於管理審查會議中,針對資訊安全目標有效
性量測結果,向資訊安全小組召集人進行報告。
