一、目的
为确保思锐智慧科技股份有限公司(以下简称「本公司」)所属各项资产、信息的机密性、完整性及可用性,订定本公司资讯安全政策以符合相关法令、法规之要求,使其免于遭受内、外部蓄意或意外之威胁。
二、适用范围
本公司全体同仁、业务往来单位、委外服务厂商与访客等。
三、资讯安全组织与权责
本公司设置资讯安全小组,团队负责资讯安全制度建置之核定及监督、资讯安全预防及危机处理。
四、资讯安全管理原则
本公司为能符合政府资讯安全要求将持续提升组织资安防护能力,并加强完善以下规范:
1、公司管理规范
(1)权限管理:仅赋予符合工作职务所需权限。
(2)职务区分:避免人员舞弊。
(3)员工教育训练:持续对员工进行相关教育训练。
2、网络/软硬件及机房管理规范
进出机房需有管理人员隌同,且记录出入时间及事由。
3、备援机制
(1)重要主机系统定期进行备份,以降低恶意软件与计算机病毒攻击造成的
资料损失风险。
(2)各数据定期备份,备份时采取加密机制。
4、风险管理
员工内部数据泄密风险管理、资安意识教育训练与风险评估应对,持续强化主动式管理相关信息安全讯息改善计划。
五、修订
确保「资讯安全管理政策」实务运作之可用性、安全性及有效性,本政策应每年依业务变动、技术发展及风险评鉴的结果或配合政府资讯安全管理要求、法令、技术及最新业务发展现况至少评估或修订一次。
六、施行
本政策需经「资讯安全小组」审核,核定后依据公告或传达给本公司各单位人员与相关外部单位实施,修订时亦同。
