核心智識資安政策

目的

確保核心智識股份有限公司（以下簡稱本公司）核心資訊系統服務與重要資訊基礎設施正常且安全穩定的運作，規範本公司之資訊安全管理制度最高指導方針，提供安全、可信賴之資訊服務，確保資訊資產之機密性、完整性、可用性及符合相關法規之要求，維持業務持續運作，降低資訊作業風險，保障資訊服務使用者之權益。

範圍

1. 基於本公司以保護資訊資產機密性、完整性、可用性為目標，故將本公司資訊作業納入資訊安全管理制度範圍。
2. 為避免因人為疏失、蓄意或天然災害等因素，導致資訊資產不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來可能之風險及危害。資訊安全管理事項如下：

• 資訊安全政策。
• 資訊安全組織。
• 人力資源安全。
• 資產管理。
• 存取控制。
• 密碼學。
• 實體及環境安全。
• 運作安全。
• 通訊安全。
• 系統獲取、開發及維護管理。
• 供應者關係。
• 資訊安全事故管理。
• 營運持續管理。
• 遵循性。

權責

1. 資安暨個資管理審查委員會 : 本公司資訊發展暨安全管理階層決策組織。
2. 資安暨個資執行小組 : 本公司資訊安全管理制度規劃、建立、實施、維護、審查與持續改善，並向資安暨個資管理審查委員會提報資訊安全相關議題。
3. 公司內部同仁、供應商、委外廠商、外部訪客:

• 配合資訊安全管理制度活動。
• 遵守相關資訊安全管理制度規範。

作業流程

定義

1. 資訊安全: 保存資訊的機密性、完整性及可用性；此外，亦能涉及如適法性、鑑別性、可歸責性、不可否認性及可靠度等性質。
2. 資訊資產: 對組織維持資訊運作有價值的任何事物，如資訊、人員、軟體、硬體、服務皆屬之。

原則

1. 應考量相關法律規章及營運要求，進行資訊資產之資訊風險評估，確定資訊作業安全需求，建立標準作業程序，採取適當資訊安全管控措施，確保資訊資產安全。
2. 依人員職務及職能需求為基礎，建立評估或考核制度，並視實際需要辦理資訊安全教育訓練及宣導活動。
3. 資訊資產存取權限之賦予，應業務需求並考量最小權限、權責區隔及獨立性審查。
4. 建立資訊安全事故管理程序，以確保事故妥善回應、控制與處理，並訂定業務持續計畫並定期演練，以確保資訊系統或資訊服務持續運作。
5. 依據個人資料保護法與智慧財產法之相關規定，審慎處理及保護個人資料與智慧財產權。
6. 定期執行資訊安全稽核作業以確保資訊安全管理制度落實。
7. 違反本政策與資訊安全相關規範，依相關法規或本公司人事規定辦理。
8. 為確保本公司同仁皆知悉本公司資訊安全要求，另訂定「資訊安全宣言」告知本公司同仁遵悉。

審查與布達

1. 本政策反映相關法令及技術等最新發展現況，並予以適當修訂。
2. 資安暨個資執行小組應確保資訊安全要求皆被知悉，應識別須被布達「資訊安全宣言」的利害關係者。
3. 本政策經核准，於公告日施行。

如有針對本公司資安政策有相關問題，請聯繫我們。