資通安全管理之目的

1.確保晶相光電股份有限公司(以下簡稱「本公司」)之系統主機、電腦設備、網路設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊盗、不當使用、洩漏機密、不當竄改或破壞等風險，並建立資通安全管理規範。
2.確保公司業務資訊之機密性、完整性與可用性。
機密性：確保被授權之人員才可使用資訊。
完整性：確保使用之資訊正確無誤、未遭竄改。
可用性：確保被授權之人員能取得所需資訊。

資通安全政策內容

1.本公司各項資通安全管理規定必須遵守政府相關法規（如：資通安全管理法、上市上櫃公司資通安全管控指引、著作權法、個人資料保護法等）之規定。
2.成立資通安全管理專職單位，負責資通安全制度之建立及推動事宜。
3.建立公司系統主機及網路使用之管理機制。
4.定期實施公司內部資通安全教育訓練，宣導資通安全政策及相關規定。
5.系統及設備建置上線前，須將風險、安全因素納入考量，防範危害資通安全之情況發生。
6.明確規範網路及資訊系統之使用權限，防止未經授權之存取動作。
7.建立資訊機房實體及環境安全防護措施，並定期施以相關維護及保養。
8.訂定資通安全管理制度內部稽核制度，定期檢視資通安全管理制度範圍內所有人員及設備使用情形，並定期出具相關報告及預防措施。
9.針對公司核心系統訂定營運持續管理計劃，並定期執行備份/備援及還原之演練，確保公司業務持續運作。
10.委外廠商在執行本公司委外需求業務時，應評估委託業務相關之資安風險。
11.本公司所有人員皆負有維持資通安全之責任，且應遵守公司相關之資通安全管理規範。
12.資安政策之評估與審查應至少每年評估及審查一次，以反映管理政策、相關法令、新型資訊技術及公司業務等之最新發展現況，確保資通安全管理制度的可行性及有效性，以維持營運和提供適當服務的能力。

資通安全風險管理架構

1.本公司設置資訊安全管理委員會，審視公司資訊安全政策與監督資訊安全運作情形。由副總經理擔任主席，加強對於資訊安全工作的橫向溝通，以利資訊安全政策的推動與落實，並定期向公司高層報告資訊安全執行成果。
2.本公司資通安全之權責單位為行政管理處-資訊室，該單位設置專業資訊人員，負責訂定企業資通安全政策、規劃並暨執行資通安全防護與資安政策推動與落實。
3.本公司稽核室為資通安全監理之督導單位，該單位設置專職稽核人員，負責督導內部資安執行狀況，若有查核發現缺失，旋即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。

4. 公司資訊安全管理運作模式採定期稽核與循環式管理(PDCA管理)，確保可靠度目標之達成且持續改善。

資訊安全管理機制

本公司資訊安全管理機制，包含以下四個面向：

• 資訊政策的制定：訂定公司資訊安全作業管理辦法，明確訂定人員對於資訊作業的行為。
• 訊科技的運用：建置資訊安全管理設施，並持續提升與汰換軟體、硬體資訊設施，以符合當前資安風險控管。
• 資安宣導與訓練：於公眾集會與信件中，持續對人員進行資訊安全宣導與教育訓練，提昇全體同仁資安意識。
• 資安稽核與改善：本公司稽核部門定時稽核資訊安全單位，針對資安與網路風險以風險評估之流程進行風險評估，適切提出控制點建議，資訊室依此作調整與改善。

資訊安全管理措施

本公司資通安全通報程序如下，資安事件之通報與處理，皆遵守該程序之規範進行