峰儀科技股份有限公司

資訊安全管理系統

資訊安全政策

壹、目的
資訊安全政策(本政策)之目的強化峰儀科技股份有限公司（以下簡稱本公司）整體資訊安全，透過制度控管維持一定的資訊服務水準；避免因外在威脅或內部人員不當管理與使用，致資訊資產遭受竄改、揭露、竊取、破壞或遺失等風險，將資安事故發生機率及事故所造成之風險降至最低程度，以維本公司各項業務正常運作以期能內化為組織文化的一部份。

貳、依據

    一、ISO/IEC 27001

    二、CNS 27001

參、適用範圍
本政策適用於本公司各項資訊資產及其資訊使用者（含本公司所屬員工、各應用系統建置維護廠商及其他經授權使用資訊資產之人員）

肆、處理原則

  一、各項安全管理規定必須遵守政府相關法令、法規（如：刑法、專利法、商標法、著作權法、資通安全管理法及個人資料保護法等）之規定。

  二、依據本公司組織與業務目的，審慎評估資訊安全作業需求與目標，並將相關目標清單及執行紀錄以文件化方式公告周知與紀錄，並確保本公司關鍵性業務持續運作不中斷，並鑑別內部與外部的利害關係人以及參與本公司資訊安全保護的程度，及辨識工作人員的職責及權責。

  三、本公司全景除於適用性聲明書中述明外，另根據內、外部利害關係人與資訊安全作業前、後環節要求，進行資產盤點、風險評估與管理，有效管理資訊資產面臨之風險，降低風險至可接受範圍。

  四、本公司高階主管應積極參與資訊安全管理活動，提供對資訊安全之支持及承諾，並定期召開高階會議以確保資訊安全維護之整體持續改善，提供全體員工資安訓練課程，提昇人員資安認知，明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。

  五、本公司全體員工(含約、聘僱人員) 皆須遵守本公司資安事件通報機制，通報所發現之資訊安全事件或資訊安全弱點，若未遵守本政策或發生任何違反本政策之行為，將依相關規定處理，各部門之資訊安全專責人員負責資訊安全各項事宜，對各項安全執行情況對有功人員予以獎勵。

  六、本公司所有往來供應商皆須簽署保密協議書，並遵守本政策以及相關程序之規定，不得未經授權使用或濫用本公司各類資訊資產。

  七、定期訂定資訊內部稽核計畫，檢視本公司資訊安全保護之情形，依稽核報告擬定及執行矯正措施。

伍、政策之評估及檢討
本政策內容應定期由資訊安全組織委員每年定期或因本公司業務、法令或環境等因素之更迭，予以適當修訂，確保本公司資訊安全實務作業的可行性及有效性。