楊銘工業股份有限公司 - ISO/IEC 27001:2022 資訊安全管理系統《政策》

【資訊安全政策】：

1. 目的

為建立安全且可信賴的資訊作業環境，確保本公司資訊資產(包含資料、系統、設備、網路及人員)的機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability)，使其免於遭受內外部蓄意或意外的威脅，並符合相關法規要求，特訂定本政策。

2. 範圍

本政策適用於本公司全體員工(包含正職、約聘、臨時人員)、合作夥伴、委外廠商及任何經授權存取公司資訊資產的第三方人員。所有人員皆有責任遵守此政策。

3. 政策目標

        ● 機密性：確保只有授權人員才能存取資訊。

        ● 完整性：保護資訊的正確性，防止未經授權的修改。

        ● 可用性：確保授權人員在需要時能取得資訊。

        ● 法遵性：遵守相關法令規章，如《個人資料保護法》等。

    4. 管理重點

         4.1 網路與系統安全

1. 防火牆與入侵偵測：安裝防火牆和入侵偵測系統，監控流量並防止未經授權的存取。
2. 軟體更新：定期更新作業系統、應用程式及病毒防護軟體，修補弱點。
3. 安全監控：監控網路活動與異常行為，並留存記錄。

        4.2 存取控制

1. 權限管理：依據職務需求，劃分員工對系統與資料的存取權限。
2. 密碼政策：制定並強制執行安全密碼規範，例如定期更換密碼。

        4.3 資訊資產管理

1. 資產分級：依據資訊的敏感度進行分級，並據此採取適當的保護措施。
2. 資料備份：定期備份重要資料，並將備份資料妥善儲存。

        4.4 人員與實體安全

1. 教育訓練：定期舉辦資安意識教育訓練，提高員工的資安素養。
2. 實體安全：加強辦公區域及機房的實體安全，防範設備失竊或破壞。
3. 員工離職：建立員工離職時的帳號停用與資料回收機制。

        4.5 應變計畫

1. 事件應變：建立資訊安全事件的緊急應變機制。
2. 演練與復原：定期演練，模擬駭客攻擊並測試系統的復原能力。

        4.6 供應鏈安全

委外管理：與廠商簽訂資訊安全協定，並進行監控與稽核。