資訊安全政策

為確保鼎盛資科股份有限公司(以下簡稱本公司)所屬之資訊資產的機密性、完整性及可用性，並符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，特訂定本資訊安全政策（以下簡稱本政策）作為資訊安全管理之準則。

1.適用範圍

為避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司造成各種可能之風險及危害，資訊安全政策範疇涵蓋四大控制措施領域，分別為組織控制措施、人員控制措施、實體控制措施及技術控制措施，並視需要發展出各項主題政策由管理階層核准、發布及傳達予相關人員和相關關注方，舉例如下：

1.存取控制。

2.實體及環境安全。

3.資產管理。

4.資訊傳送。

5.端點裝置之安全組織及處置。

6.連網安全。

7.資訊安全事故管理。

8.備份。

9.密碼技術及金鑰管理。

10.資訊分類分級及處理。

11.技術脆弱性管理。

12.安全開發。

2.權責

2.1 本公司應成立資訊安全組織統籌資訊安全事項推動。

2.2 管理階層應積極參與資訊安全管理制度，提供對資訊安全管理制度之支持。

2.3 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。

2.4 本公司全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或弱點。

2.5 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。

3.定義

3.1 組織全景，包括內外部議題、各關注方之需要及期望。

內部全景議題，可分為組織管理層面(安全政策、管理者支持、安全組織與措施、風險管理、文件控管程序、事故應變程序、存取權限控管等)、人事層面(安全意識建立、持續教育訓練、保密、安全通報等)、技術層面(安全的資訊環境、安全的應用軟體開發、軟體與硬體維護、安全通訊、網路環境安全、防範惡意軟體、存錄等)、實體安全層面(進出管理、場域安全、設備安置及保護等)。

外部全景議題，考量現行作業之各項外部環境議題，包括自然環境災害、法令要求、客戶要求、公共資源提供、外包服務等。

各關注方(內外部關注方)，如主管單位(之法令法規)、客戶(之合約內容需求)、外包商(之合約及管理需求)、股東(公司穩定永續經營、獲利提高)等。