資通安全管理政策

01 目的

為維護薪威科技股份有限公司（以下簡稱本公司）所屬資訊資產之機密性、完整性及可用性，並符合相關法規要求，保障客戶、合作夥伴及公司內部資訊安全，使其免於遭受內、外部蓄意或意外之威脅。本公司整合各層級部門資通安全目標，建立整體資通安全政策如下：

1.1 保護本公司業務活動資訊，避免未經授權存取，確保資訊機密性。
1.2 保護本公司業務活動資訊，避免未經授權修改，確保資訊之正確性與完整性。
1.3 建立業務持續運作機制，確保本公司營運不中斷，維持資訊與服務可用性。
1.4 確保本公司各項業務執行符合相關法規及契約要求，達成法規遵循性。
1.5 提升全體同仁資通安全意識，降低資訊安全風險與營運衝擊。

02 適用範圍

本政策適用於本公司全體員工、委外服務廠商、合作夥伴及訪客，皆應遵循本政策及相關資通安全管理規範。

為避免因人為疏失、蓄意行為、系統弱點或天然災害等因素，導致資料不當使用、洩漏、竄改或毀損，進而造成公司營運風險與損害，本公司透過下列制度文件與管理程序推動資通安全管理：

• 適用性聲明書
• 文件管理程序書
• 資通安全稽核管理程序書
• 矯正與預防管理程序書

並依循以下管理程序執行：

2.1 資通安全政策訂定與評估（資通安全政策、資通安全目標管理程序書、組織全景分析程序書）
2.2 資通安全組織管理（資通安全組織管理程序書）
2.3 人員資通安全管理與教育訓練（人力資源安全管理程序書）
2.4 資訊資產分類與控管（資訊資產管理程序書）
2.5 資料安全管控（資料安全管理程序書）
2.6 風險識別與控管（資通安全風險管理程序書）
2.7 存取控制與帳號密碼管理（存取管制與密碼管理程序書）
2.8 實體與環境安全（實體與環境安全管理程序書）
2.9 作業安全管理（作業安全管理程序書）
2.10 網路安全管理（網路安全管理程序書）
2.11 系統開發與維護安全（系統發展與維護管理程序書）
2.12 供應商服務與關係管理（供應商關係管理程序書）
2.13 資通安全事件應變與處理（資通安全威脅情資與事件管理程序書）
2.14 業務持續營運管理（業務持續管理程序書）
2.15 法規遵循與政策符合性（法規遵循管理程序書）

03 權責

為確保資通安全政策有效落實，本公司權責分工如下：

3.1 本公司設置「資通安全委員會」，由高階主管指派資通安全主管，負責統籌資安政策、計畫推動、資源配置及管理審查。

3.2 資通安全委員會下設「資通安全工作小組」，由資安主管指派管理代表，負責：

• 制定與修訂資通安全相關制度文件
• 維護資通安全管理系統運作
• 定期向管理階層提報執行成果與改善建議

3.3 各部門應遵循資通安全工作小組所訂定之相關規範與管理要求。

3.4 本公司員工、外部連線使用者及合作廠商，皆須遵守本公司資通安全政策及相關規定。

3.5 若有危及資通安全之行為，將依相關法規及公司規定辦理，必要時追究民事、刑事及相關損害賠償責任。

04 名詞定義

4.1 資通安全：確保資訊與通訊之機密性、完整性與可用性，並涵蓋鑑別性、可歸責性、不可否認性與可靠性等特性。

4.2 機密性：資訊不得被未經授權之個人、實體或系統取得或揭露。

4.3 可用性：授權使用者於需要時，可正常存取與使用資訊及系統。

4.4 完整性：確保資訊內容之正確性與完整性，不被未經授權修改。

4.5 鑑別性：確認使用者、設備或系統身分之正確性。

4.6 不可否認性：確保已發生之行為、操作或交易不可被否認。

4.7 可歸責性：能追蹤並確認資訊行為責任歸屬。

4.8 可靠性：確保系統與資訊處理結果之穩定與一致性。

05 作業說明

5.1 審查

本政策應至少每年檢討一次，以符合最新法規要求、客戶需求及資通科技發展趨勢，確保制度之適切性與有效性。

5.2 實施

5.2.1 配合資通安全委員會定期會議，進行政策與執行成效之管理審查。

5.2.2 每年依「資通安全目標管理程序書」，透過量測與評估機制檢視資安目標執行情形，並進行持續改善。

5.2.3 每年依「組織全景分析程序書」，進行內外部環境分析，掌握影響資安管理系統之關鍵議題及利害關係人需求。

5.2.4 定期審查「適用性聲明書」，確認資安控制措施之適用範圍與合理性。

5.2.5 本政策經資通安全委員會審核通過後公告實施，修訂時亦同。