資訊安全政策

鋒形科技有限公司(以下簡稱本公司)為強化資訊安全管理，確保本公司資訊資產之機密性、完整性及可用性。以提供本公司業務持續運作所需之資訊環境與架構，並符合相關法規之要求，避免遭受內部，外部蓄意或意外事件影響，特制定此政策（以下簡稱本政策），作為本公司資訊安全管理系統(以下簡稱ISMS)的最高指導原則

本公司資訊安全目標為：確保重要資訊及服務之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與遵循性(Compliance)，並依公司組織各階層與職能來定義及量測資訊安全績效之量化指標，以確認 ISMS 實施狀況及是否達成資訊安全目標。

本公司考量內部及外部議題、關注方之需要及期望，以及本公司活動與其他組織活動間之介面及相依性，本政策及ISMS適用範圍為：Femas HR雲端及企業人資系統之軟體開發、營運及作業環境，包括：實體辦公室區域、雲端系統、開發人員、軟體、營運資料、系統管理單位及相關作業流程。

ISMS包括內容如下，有關單位及人員就下列事項，應訂定對應之管理規範或實施計畫，並據以實施及定期評估實施成效：

(1)資安組織及管理審查程序

(2)文件與記錄管理

(3)資安目標與績效評量

(4)風險管理

(5)資訊安全內部稽核

(6)持續改善

(7)人力資源安全管理

(8)資產管理

(9)存取控制管理

(10)實體與環境安全管理

(11)運作安全與密碼學

(12)通訊安全管理

(13)系統獲取、發展與維護管理

(14)供應商關係管理

(15)資訊安全事故管理

(16)營運持續管理

(17)遵循性管理

為確保ISMS能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

ISMS之實施應依據規劃（Plan）、執行（Do）、查核（Check）及改善（Act）流程模式，以週而復始、循序漸進的精神，確保ISMS運作之有效性及持續改善。

• 8.1

  本政策應於重大變更或至少每年評估審查一次，以反映相關法令法規、技術、業務及相關部門等最新發展現況，確保資訊安全作業之有效性。
• 8.2

  本政策應依據審查結果進行修訂，並經本公司負責人簽核發佈後始生效。
• 8.3

  本政策訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知關注方，如：客戶、合作夥伴、所屬員工、供應商等。