▍ 更新日期：2024-09-06

一﹑目的

為強化奇豐資訊股份有限公司（以下簡稱本公司）整體資訊安全，透過制度控管維持一定的資訊服務水準，避免因外在威脅或內部人員不當管理與使用，致資訊資產遭受竄改、揭露、竊取、破壞或遺失等風險，將資安事故發生機率及事故所造成之風險降至最低程度，以維本公司各項業務正常運作並內化為組織文化的一部份，特制訂資訊安全政策（以下簡稱本政策）。

二、適用範圍

本政策適用於本公司各項資訊資產及其資訊使用者（含本公司所屬員工、供應商及其他經授權使用資訊資產之人員）。
三、政策內容

（一）共通政策：

1. 應依據本公司組織與業務目的，審慎評估資訊暨個資安全作業需求與目標，並確保本公司關鍵性業務持續運作不中斷。
2. 各項安全管理規定必須遵守政府相關法令、法規規章（如：刑法、著作權法、專利法、營業秘密法及個人資料保護法等）之規定。
3. 鑑別內部與外部的利害關係人以及參與本公司資訊暨個資安全保護的程度，並辨識工作人員的職責及權責。
4. 本公司高階主管應積極參與資訊安全管理活動，提供對資訊安全之支持及承諾。
5. 定期召開管理審查會議以確保資訊暨個資安全維護之整體持續改善。
6. 定期提供全體員工資安暨個資安全訓練課程，提昇人員資安暨個資安全認知。
7. 定期訂定與執行資訊暨個資內部稽核計畫，檢視本公司資訊暨個資保護之情形，並依稽核報告擬定及執行矯正改善措施。
8. 本公司全體員工(含約、聘僱人員)若未遵守本政策或發生任何違反本政策之行為，將依相關規定處理。
9. 本公司視各項安全執行情況對有功人員予以獎勵。

（二）資訊安全政策：

1. 本公司組織資訊暨個資安全團隊，負責資訊暨個資安全各項事宜。
2. 本公司全體員工(含約、聘僱人員)皆須遵守本公司情資威脅、弱點及資安事件管理、分析與通報機制，並通報所發現之資訊安全事件或資訊安全弱點。
3. 本公司應確保客製化軟體開發與服務，執行過程中所運用之各類資材來源之合法性，及確保業務所產出成品之智慧財產權。
4. 為符合本政策目標，應制定風險評估暨管理程序，進行風險評估與管理，以有效管理資訊資產面臨之風險，降低風險至可接受範圍。
5. 明確規範資訊系統及網路服務之使用權限，防止未經授權之存取。
6. 因任務需要必須觸及本公司敏感資訊的非本公司人員皆須簽署保密協議書，並遵守本政策以及相關程序之規定，不得未經授權使用或濫用本公司各類資訊資產。
7. 針對 ESG 相關環境議題，應配合公司發展現況於每年管理審查會中提出討論，以符合相關利害關係人之要求及政府法令因應環境之變遷。

（三）個資安全政策：

1. 本公司資訊暨個資安全團隊負責個人資料保護制度之建立及推動事宜，以確認本公司個資安全政策能被實施並配置相當資源。
2. 為符合本政策目標，應維持一份組織處理的個人資訊類別清單(如：個資清查彙整表)，建立個人資料之風險評估及管理機制。
3. 建立設備、資料安全及人員管理規範及個資事故之預防、通報與應變機制。
4. 建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制，作為後續舉證或證明已盡善良管理人責任之用。
5. 僅基於合法之目的及執行法定義務的必要的範圍內公平並合法的處理個人資訊。
6. 僅基於合法之目的蒐集最少且必要的個人資訊，處理相關且適當的個人資訊亦不會超出蒐集之目的，對於保存個資的時間須為法律或規定的需求理由或為合法的組織目的。
7. 維持正確的個人資訊並確保其安全，且於必要時維持其資訊為最新的狀態。
8. 本公司於個人資訊處理或利用前清楚告知當事人，會以適當方式使用當事人個人資訊，並且尊重當事人與其個人資訊的相關的權利，包括對於個人資訊的存取權。

四、政策之評估及檢討

本政策內容應定期由管理委員會每年定期或因本公司業務、法令或環境等因素之更迭，予以適當修訂，確保資訊暨個資安全實務作業的可行性及有效性。

五、法規與標準依據

• 個人資料保護法。
• 個人資料保護法施行細則
• 個人資料保護法之特定目的及個人資料之類別。
• ISO 27001:2022 / CNS 27001:2023
• BS 10012:2017
• ISO 29100:2011
• ISO 27017:2015
• ISO 27018:2014 / CNS 27018:2016
• ISO 29151:2017
• ISO 27701:2019