資訊安全政策

1. 前言

 

衛波科技股份有限公司(以下簡稱「本公司」 )為強化資訊安全管理， 故建立資訊安全管理
制度，以確保本公司資訊資產之機密性、完整性、可用性，並符合相關法規之要求，使其
免於遭受內、外部的蓄意或意外之威脅，因此依據國際標準「 ISO/IEC 27001:2022」及相
關法令與規定，並衡酌本公司之業務需求，訂定本政策。

 

2. 資訊安全目標

 

確保本公司資訊資產之機密性(Confidentiality)、完整性 (Integrity)、可用性(Availability)。

 

3. 適用範圍

 

本政策適用於本公司全體同仁(係指員工、約聘僱人員、工讀生)、委外人員(單位)，以及所
有相關資訊資產之安全管理。

 

4. 資訊安全作業內容

 

4.1. 實施原則

 

資訊安全管理系統之實施原則，必須依據 Plan-Do-Check-Act 標準流程進行操作：

 

4.1.1. 規劃(Plan)

 

建立資訊安全管理系統的政策、目標、過程及相關程序以管理風險及改進資訊安
全，使結果與本公司整體政策與目標相一致。

 

4.1.2. 執行(Do)

 

實作與運作資訊安全管理系統的政策、控制措施、過程與流程。

 

4.1.3. 檢查(Check)

 

依據資訊安全管理系統政策、目標與實際經驗，在適當時機評鑑及測量過程績效，並將結果回報給管理階層加以審查。

 

4.1.4. 行動(Act)

 

依據資訊安全管理系統內部稽核與管理階層審查結果或其他相關資訊結果採取矯正與預防措施，以達成資訊安全管理系統的持續改進。

 

5. 資訊安全管理指標

 

本公司將依業務性質，從機密性、完整性、可用性等方面考量，經管理審查會議審議，制訂資訊安全管理有效性量測表，利用量化指標之管理落實本政策。

 

6. 責任

 

6.1. 資訊安全是本公司全體員工的責任。 資訊安全小組負責資訊安全管理制度的建立，各部門應共同遵守之。

 

 

6.2. 為推動與執行管理制度，應成立資訊安全管理委員會，由執行長擔任召集人。

 

 

6.3. 管理階層應積極參與資訊安全制度活動，提供對管理制度之支持。

 

 

6.4. 本公司同仁於發現資訊安全事件或弱點時，應遵守本公司資訊安全事件通報機制即時提報。

 

 

6.5. 各單位及人員如違反本政策，或發生危及本公司資訊安全之行為， 皆將予以懲處或採行法律行動。

 

 

6.6. 本公司委外單位應簽署保密協議，並遵守本政策以及相關程序之規定，未經授權不得使用本公司之各類資訊資產。

 

 

7. 審查與評估

 

7.1. 本政策應依據「 PWAVER-ISMS-2-01 資訊安全組織管理程序書」， 至少每年或不定期審查與評估其內容之適切性。

 

 

7.2. 當適用範圍內之資產有所改變並影響原有風險評鑑基礎時，應該要對內容進行審查。

 

 

7.3. 本政策若有修訂， 應依據「 PWAVER -ISMS-2-02 文件與紀錄管理作業程序書」 進行修訂和發布。