資通安全政策

壹、資通安全管理之目的

一、確保旭然國際股份有限公司以下簡稱「本公司」之系統主機、電腦設備、網路設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊盗、不當使用、洩漏機密、不當竄改或破壞等風險，並建立資通安全管理規範。

二、確保公司業務資訊之可用性、完整性與機密性。

(一)可用性－Availability：確保各項資訊資產能提供即時且正確的服務，以滿足使用者之需求。

(二)完整性－Integrity：將資訊資產依重要性分類，並提供適當的保護以確保資訊資產的完整性。確保使用之資訊正確無誤、未遭竄改。

(三)機密性－Confidentiality：適當的劃分資料的機密等級，並依其機密等級予以適當的規範及保護。確保被授權之人員才可使用資訊。

貳、資通安全政策內容

一、本公司各項資通安全管理規定必須遵守政府相關法規(如：資通安全管理法、上市上櫃公司資通安全管控指引、著作權法、個人資料保護法等)之規定。

二、成立資通安全管理單位，負責資通安全制度之建立及推動事宜。

三、建立公司系統主機及網路使用之管理機制。

四、定期實施公司內部資通安全教育訓練，宣導資通安全政策及相關規定。

五、系統及設備建置上線前，須將風險、安全因素納入考量，防範危害資通安全之情況發生。

六、明確規範網路及資訊系統之使用權限，防止未經授權之存取動作。

七、建立資訊機房實體及環境安全防護措施，並定期施以相關維護及保養。

八、訂定資通安全管理制度內部稽核制度，定期檢視資通安全管理制度範圍內所有人員及設備使用情形，並定期出具相關報告及預防措施。

九、針對公司核心系統訂定營運持續管理計劃，並定期執行備份/備援及還原之演練，確保公司業務持續運作。

十、委外廠商在執行本公司委外需求業務時，應評估委託業務相關之資安風險。

十一、本公司所有人員皆負有維持資通安全之責任，且應遵守公司相關之資通安全管理規範。

十二、資安政策之評估與審查應至少每年評估及審查一次，以反映管理政策、相關法令、新型資訊技術及公司業務等之最新發展現況，確保資通安全管理制度的可行性及有效性，以維持營運和提供適當服務的能力。

參、資通安全風險管理架構

一、 本公司設置資訊安全管理小組，審視公司資訊安全政策與監督資訊安全運作情形。由資訊部最高主管擔任召集人，加強對於資訊安全工作的橫向溝通，以利資訊安全政策的推動與落實，並定期向公司高層報告資訊安全執行成果。

二、 本公司資通安全之權責單位為總管理處-資訊部，該單位設置專業資訊人員，負責訂定企業資通安全政策、規劃並暨執行資通安全防護與資安政策推動與落實。

三、 本公司稽核室為資通安全監理之督導單位，該單位設置專職稽核人員，負責督導內部資安執行狀況，若有查核發現缺失，旋即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。

四、本公司資訊安全管理運作模式採定期稽核與PDCA（Plan-Do-Check-Act）循環式管理，確保可靠度、目標之達成且持續改善。

肆、資訊安全管理機制

本公司資訊安全管理機制，包含以下四個面向：

(一)資訊政策的制定：訂定公司資訊安全作業管理辦法，明確訂定人員對於資訊作業的行為。

(二)資訊科技的運用：建置資訊安全管理設施，並持續提升與汰換軟體、硬體資訊設施，以符合當前資安風險控管。

(三)資安宣導與訓練：於公眾集會與信件中，持續對人員進行資訊安全宣導與教育訓練，提昇全體同仁資安意識。

(四)資安稽核與改善：本公司稽核部門定時稽核資訊安全單位，針對資安與網路風險以風險評估之流程進行風險評估，適切提出控制點建議，資訊室依此作調整與改善。

伍、資訊安全管理措施

本公司實施之資通安全政策與管理措施，包含如下：

本公司資通安全通報程序如下，資安事件之通報與處理，皆遵守該程序之規範進行：