知千里股份有限公司 資訊安全政策

1. 前言

本資訊安全政策旨在建立、實施、維護及持續改善知千里股份有限公司（以下簡稱本公司）的資訊安全管理系統（ISMS），以保護本公司資訊資產的機密性、完整性及可用性，確保業務持續運作，並符合相關法規要求。

2. 適用範圍

本政策適用於本公司所有員工、承包商及其他涉入本公司資訊系統者。本政策涵蓋本公司所擁有、管理或處理的所有資訊資產，包括但不限於：

• 資訊系統：電腦、伺服器、網路設備、行動裝置等
• 軟體：作業系統、應用程式、資料庫等
• 資料：客戶資料、員工資料、財務資料、智慧財產等

3. 資訊安全目標

• 機密性: 確保資訊僅提供給經授權的人員存取。
• 完整性: 確保資訊的準確性、完整性及可追溯性。
• 可用性: 確保資訊系統與資料在需要時可供授權使用者使用。
• 符合法規: 確保資訊處理符合相關法律法規的要求。
• 持續改善: 不斷評估並改善資訊安全管理系統。

4. 資訊安全責任

• 管理階層: 負責提供必要的資源，建立資訊安全文化，並確保資訊安全政策的執行。
• 資訊安全負責人: 負責ISMS的建立、實施、維護及持續改善。
• 員工: 負責遵守本政策，並主動報告資訊安全事件。
• 承包商: 在提供服務時，應遵守本公司的資訊安全要求。

5. 資訊安全控制措施

• 組織與人員安全:
  • 實施背景調查
  • 定期進行資訊安全教育訓練
  • 訂定明確的職責分工
• 資產管理:
  • 建立資產清單
  • 定期進行資產盤點
• 存取控制:
  • 實施強密碼政策
  • 採用多因素驗證
  • 根據職責授予最小權限
• 加密:
  • 對敏感資料進行加密
• 反惡意程式:
  • 定期更新防毒軟體
  • 進行滲透測試
• 資訊系統支援:
  • 定期備份重要資料
  • 建立災害復原計畫
• 供應商關係:
  • 對供應商進行資訊安全評估
• 實體與環境安全:
  • 控制實體存取
  • 監控環境條件
• 通訊與作業安全:
  • 保護通訊網路
  • 安全配置系統
• 事件管理:
  • 建立事件報告機制
  • 進行事件調查與分析
• 持續性與緊急情況管理:
  • 建立業務持續性計畫
  • 定期演練應變措施

6. 資訊安全事件處理

• 任何員工發現疑似資訊安全事件，應立即向資訊安全負責人報告。
• 資訊安全負責人將啟動事件處理程序，進行調查、分析並採取必要措施。
• 事件處理報告將定期提交給管理階層。

7. 政策修訂

本政策將根據業務需求、法規變動及風險評估結果進行定期檢討並修訂。