本公司依據 ISO27001為基準特制訂資訊安全政策如下，以供全體同仁共同遵循：

 

一、目的

為保護群邁通訊股份有限公司(以下簡稱本公司)，產品與服務的資訊財產及客戶機密資訊，避免有未經授權之存取、修改、使用及揭露，以及天然災害所引起之損失，並適時提供完整與可用之資訊，本公司致力於資訊安全管理，確保本公司重要資訊財產之機密性、完整性及可用性，並符合相關法令法規之要求，以降低資訊安全之風險與對公司營運衝擊，進而獲得客戶信賴、達到對股東的承諾，保證公司重要業務持續運作，特定此政策規範。

​

二、適用範圍

1. 本公司依實際需要及符合政府與相關法令要求建立資訊安全管理系統。系統適用範圍設定為本公司應用服務處、加值應用事業處及Fusion智慧 AIoT 雲平台服務所構成之資訊安全管理系統。透過SWOT分析與利害關係對應表，充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。

2. 本公司於建置資訊安全管理系統之初衷及系統執行之結果，均應將內外部單位對資訊安全方面之議題，及關注方對資訊安全管理系統之期盼與要求納入考量，並列入目標與成效評估範圍。這些資訊安全相關議題、期盼或要求，應列入風險評估及風險管理，以確保資訊安全管理系統能達成預期效果及持續改善。並於風險評鑑過程中必須要能識別風險擁有者。

3. 本公司政策方針為：確保群邁通訊資訊資產的機密性、完整性、可用性並符合法規與客戶要求保證公司業務持續運作。

4. 本公司應於相關部門及層級建立資訊安全目標，並可與資訊安全政策、方針對應或連結，且必須符合以下4項條件：
   ● 可以量測
   ● 成效量測方式
   ● 需訂定完成日期
   ● 需有負責人員(負責單位)

5. 資訊安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。本公司所訂定之資訊安全功能性政策如下：
   ● 資訊安全政策
   ● 資訊安全的組織
   ● 人力資源安全
   ● 資產管理
   ● 存取控制
   ● 加密
   ● 實體與環境安全
   ● 營運安全
   ● 通訊安全
   ● 資訊系統獲取、開發及維護
   ● 供應商關係
   ● 資訊安全事件管理
   ● 有關於資訊安全方面的營運持續管理
   ● 適法性
    

三、權責

1. 本公司資訊安全管理委員會之資訊安全技術暨政策推行小組負責擬定此政策，並呈資訊安全管理代表審查核准後實施。

2. 資訊安全管理者透過適當的標準和程序以實施此政策。

3. 所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。

4. 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點，若因而防止可能發生之資訊安全威脅事件，得視情況予以適當獎勵。

5. 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。

 

四、名詞定義

1. 資訊資產：係指為維持本公司資訊業務正常運作之硬體、軟體、文件及人員。

2. 業務持續運作之資訊環境：係指為維持本公司各項業務正常運作所需之電腦作業環境。

 

五、作業說明

維護本公司資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目標：

• 保護本公司業務活動資訊，避免未經授權的存取含雲端服務之存取與控制。

• 保護本公司業務活動資訊，避免未經授權的修改，確保其正確完整。

• 確保雲服務客戶間，具備安全之隔離。

• 雲服務相關人員，於雲服務過程中不得及無法接觸客戶資產，如因作業需要，須取得客戶同意。

• 客戶及相關人員，於進入雲服務系統時，需透過身分驗證過程，以確保雲服務之資訊安全。

• 雲服務作業過程如有變更，須通知雲服務客戶，或進行必要溝通。

• 雲服務虛擬化作業，須具備雲端資訊安全之考量。

• 當客戶終止接受雲服務時，權責單位須將該客戶之所有資訊資產清除，以確保客戶權益及雲服務資訊安全。

• 當不符合事項發生或違規行為發生時，須與客戶進行必要之溝通，並視需要提供調查結果及相關資訊。

• 建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本公司具備可供業務持續運作之資訊環境。

• 辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。

• 執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。

• 實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。

• 本公司之業務活動執行須符合相關法令或法規之要求。

 

本政策由本公司資訊安全管理委員會之資訊安全技術暨政策推行小組負責擬定，並呈資訊安全管理代表核定後公告實施，修訂時亦同。

公告日期 : 2023/07/18