福華明鏡股份有限公司資訊安全政策

一、 資訊安全政策

為維持資訊安全管理系統之機密性、完整性及可用性，以達成營運目標，制訂下列資訊安全政策：

1.遵循資安法規，推動全員參與。
鑑別與評估資訊安全相關標準及法律、法令、法規及契約之要求事項，評估其風險及符合性，並提供必要資源以推動執行相關控制措施，以降低遭受內外部蓄意或意外之威脅。

2.監控資安績效，持續執行改善。
鑑別資訊安全風險及威脅，制訂資訊安全目標與行動方案，與監控流程績效，以掌握潛在威脅或獲取改善機會，並持續改善資訊安全管理系統，確保其適切性及有效性。

二、 資訊安全目標

為因應資訊安全目標，常隨政府法規、顧客要求、企業經營目標改變而加以修訂之，本公司之資訊安全目標經「管理審查會議」，由相關主管提出，經會議討論後，報請總經理核准後以公告之。

三、 作業原則

1. 資訊單位應考量法律及營運要求，評估與鑑別資訊資產風險，並建立相關之程序書及作業標準書，以確保資訊資產安全無虞。
2. 最高管理階層應提供必要資源，以支援資訊安全管理系統之建立及維持。
3. 最高管理階層應依據資訊安全之角色及責任，定義組織架構及其分工權責，以推動資訊安全管理系統。
4. 資訊資產之存取權限，應依據業務屬性並考量最小權限、權責區隔及獨立性審查。
5. 遵守「個人資料保護法」等法令法規規定，應妥善運用並保護個人資料與智慧財產權。
6. 建立資訊安全緊急事件及業務連續性管理程序，以確保營運活動不因事件影響而中斷。
7. 定期執行內部稽核，以檢視資訊安全管理系統是否存在漏洞、人員是否落實執行，確保系統得持續維持有效性。

四、 權責

1. 單位應依據國際條文、法令法規、顧客要求等，建立相應之程序書、作業標準書，並留下相關執行記錄供追溯。
2. 全體同仁與相關供應商均應遵循本管理系統之控制措施。
3. 使用資訊設施之人員，應接受資訊安全教育訓練，並有義務向向最高管理階層通報資訊安全事件和資訊安全弱點。
4. 任何蓄意違反資訊安全規定之行為將視情節懲處。
5. 資訊單位應於管理審查會議向最高管理階層報告資訊安全管理系統績效。

五、 資訊安全政策之評估與審查

1. 資訊安全政策每年至少審查一次，當遇組織有重大變更，例：組織營運策略調整、導入新資訊系統、法律法規變更、顧客要求變更、資訊安全風險變更、發生重大資訊安全事件等，應召開臨時管理審查會議。
2. 管理審查會議依據所鑑別之資訊安全風險、法令法規要求、顧客要求、流程績效等，審查資訊安全政策之適切性，以確保其符合組織之目的。
3. 資訊安全政策經常董簽署後公告，以書面、電子郵件、教育訓練等方式通知相關人員，修訂時亦同。