壹立方數碼股份有限公司(以下簡稱本公司)致力於保護客戶及內部業務資料的安全,並遵循ISO 27001資安管理標準,以確保所有資訊系統的安全性、可靠性及合規性。本政策涵蓋了資訊安全的各個層面,包括資產管理、風險評估、資料保護等,並適用於本公司所有員工、合作夥伴及第三方服務提供者。
1. 資訊安全的承諾
我們承諾保障所有與業務相關的資訊資產的機密性、完整性與可用性。這包括但不限於公司內部資訊、客戶資料、系統架構設計及其他敏感資訊。我們將定期進行風險評估,並根據結果改進我們的資安措施。
2. 風險管理
本公司將針對可能影響資訊安全的風險進行評估,並採取適當的風險處理策略。所有識別的風險將被記錄並定期回顧,以確保風險處理措施的有效性。
3. 資訊資產的保護
所有資訊資產,包括資料、系統和設備,將根據其機密性和價值進行適當的保護。存取權限將根據最小權限原則進行管理,並定期檢討。
4. 供應鏈管理
本公司與所有供應商和合作夥伴建立清晰的資訊安全協議,確保他們的資安措施符合法律法規及我們的內部標準。我們將定期審查第三方的安全性,並要求他們遵守相應的資訊安全要求。
5. 資料保護與隱私
我們將遵守適用的資料保護法律法規,包括GDPR等,對客戶和員工的個人資料進行保護。所有收集、儲存和處理的資料將加密並且有適當的存取控制。
6. 員工安全意識
所有員工都需接受資訊安全教育與培訓,並對其在日常工作中涉及的資訊安全責任有充分了解。員工需遵守本公司資訊安全政策和流程,確保在所有操作過程中遵守安全規範。
7. 事件管理
本公司設有資訊安全事件報告和處理流程,所有資訊安全事件將被迅速識別、報告並處理。發現的安全漏洞將會進行根本原因分析,並采取有效措施加以改進。
8. 資安合規性
本公司承諾遵循所有適用的法律、規範及行業標準,並持續監控相關的法規變更。我們定期進行內部及外部的資安審查,並對發現的問題採取必要的整改措施。
9. 持續改進
我們會定期審查資訊安全政策及其實施情況,並根據環境變化及科技發展對策略進行調整。持續改進是本公司資訊安全管理體系的一個重要組成部分。
10. 設施與系統安全
本公司將對所有資訊處理設施和系統進行物理與邏輯安全保護。系統將定期進行安全測試與更新,並設有有效的備援計劃,以應對突發的資訊安全事件。
本資訊安全政策反映了我們對於客戶、員工以及業務夥伴負責的承諾。我們將持續改進資訊安全管理措施,並確保所有相關方的資訊資產得到妥善的保護。