昱鐳應材股份有限公司-資訊安全管理系統『資訊安全政策』

機密等級：■一般 □敏感 □機密

文件編號：I-M-01

文件版本：A

生效日期：114年06月20日

1. 目的(政策)

昱鐳應材股份有限公司（以下簡稱本公司）為確保資訊資料、系統、設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險，並建立資訊安全管理系統，特訂定資訊安全政策(以下簡稱本政策)，以確保資訊之機密性、完整性與可用性。

1.1 機密性：確保只有經授權的人才能存取機敏資訊。

1.2 完整性：確保使用之資訊正確無誤、未遭竄改。

1.3 可用性：確保經授權的使用者在需要時可以隨時存取資訊及相關資訊資產。

2. 依據

2.1 ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection- Information security management systems - Requirements)。

2.2 個人資料保護法及施行細則。

3. 內容(目標)

3.1 建立組織資訊安全推行小組，負責推動資訊安全工作。

3.2 評估人員之任免、職務之分派，對離職、休職、停職或調職之人員，應建立控管及人力備援制度；另定期辦理資訊安全教育訓練及宣導，提升人員資訊安全認知及水準。

3.3 建立資訊資產的保管制度，有效分配、運用及管理資訊資源。

3.4 重要設施及特殊場所應加強管制。

3.5 提昇電腦網路防禦技術，適時阻絕外界之入侵、破壞。

3.6 建立資訊緊急處理機制與營運持續演練計畫，並定期操演、測試記錄。

4. 修訂與公告

本政策由「資訊安全推行小組」每年定期審議，另組織、業務、法令或實體環境等因素之變迭時，予以適當修訂。本政策經總經理核定後公布施行

，修正時亦同。

5. 資訊安全政策之宣導與檢討

5.1 資訊安全政策應每年透過教育訓練、內部會議、張貼公告等方式，向本公司內所有人員進行宣導，並檢視執行成效。

5.2 本資訊安全政策由總經理核定，每年於資訊安全管理審查會議中檢討，其適切性，應至少評估一次，以反映各項資訊安全政策、法令、技術及業務之最新狀況，確保安全實務作業之可行性及有效性。

5.3 本公司所有人員負有維持資訊安全之責任，且應遵守相關之資訊安全管理規定。

(本文件不得擅自塗改或影印)​FP40102A