資訊安全管理系統
AEWIN科技資訊安全政策
AEWIN科技非常重視保護客戶和投資者的利益。隨著新興技術的快速發展,公司可能面臨外部惡意威脅和安全漏洞,這可能導致聲譽損害和業務中斷,從而影響客戶和股東的權益。
為了應對這些風險,AEWIN科技已實施ISO 27001資訊安全管理系統(ISMS),建立資訊安全政策及相關程序,並將其傳達給所有員工,以加強內部資訊安全治理,提高員工對資訊安全的意識。
資訊安全政策聲明
AEWIN科技特此聲明其資訊安全政策如下:
資訊安全目標
1.1 通過實施嚴格的訪問控制,確保公司資訊資產的機密性,只允許授權人員訪問。
1.2 確保資訊處理的完整性,防止未經授權的修改。
1.3 確保資訊系統和服務的持續運行和可用性。
1.4 確保所有資訊操作遵守適用的法律、法規和合同要求。
資訊安全控制措施
2.1 成立由總經理主持的資訊安全管理組織,監督ISMS的運作,識別內部和外部問題,並了解利益相關方對資訊安全的期望和要求。
2.2 管理層致力於維護資訊安全,持續改善資訊安全績效,減少安全事件的發生,以保障客戶利益。
2.3 定期審查和更新ISMS文件,並實施明確的管理控制以保護相關記錄。
2.4 定期進行資訊資產清查、分類、影響分析和風險評估,以識別影響ISMS的風險並實施適當的風險處理措施。
2.5 為員工提供定期的資訊安全培訓和意識提升計劃。所有員工都有責任保護自己擁有、管理或使用的資訊資產。
2.6 部門經理應確保適當的職責和責任分離,以防止未經授權的修改或濫用可能影響客戶的資訊、產品或服務。
2.7 對於需要訪問公司資訊資產的供應商、承包商、臨時工和訪客,應進行適當的審查並簽署資訊安全合規協議。
2.8 根據業務需求和可能影響客戶利益的潛在事件建立業務持續性計劃,並定期進行演練,以確保在中斷事件發生時能迅速恢復。
2.9 建立資訊安全績效指標並定期測量,以確保ISMS實施和控制過程的有效性。
2.10 確保受控區域和辦公環境的安全,以防止資訊資產的盜竊或損壞。
2.11 持續加強網絡和通信安全管理,以減少因黑客攻擊、外部攻擊和惡意軟件可能影響正常運作而造成的風險。
2.12 所有產品開發、修改和維護活動應遵循ISO 27001的控制原則,並僅在交付前經過適當的評估、討論、分析、授權、測試和驗證後進行。
2.13 在發生資訊安全事件、漏洞或違反安全政策和程序的情況下,公司應遵循既定程序進行報告、影響分析、確認和實施糾正措施,以最小化損失。
2.14 遵守適用的內部和外部法律法規,建立必要的控制程序,定期進行資訊安全審計,並維持ISO 27001認證。
2.15 對於移動設備安全,員工需使用公司發放的筆記型電腦,並遵守公司管理政策,以減少與移動設備使用相關的風險。
政策審查
本政策應至少每年審查一次,並根據需要進行修訂和公告。
