資訊安全基本方針

1. 宣言
株式會社 C-Square（以下稱「本公司」）基於企業理念，致力於確保並提升所有資訊資產之機密性、完整性及可用性，以回應客戶及整體社會對本公司的信賴。
為此，本公司制定本資訊安全基本方針（以下稱「本方針」）。本公司將依據本方針，建立資訊安全管理體制，並透過對全體董事、高階主管及員工實施教育與訓練，促進本方針之落實。同時，本公司將建構能夠因應社會要求及網路安全等環境變化之管理系統，並持續推動改善。

2. 適用範圍
本方針適用於本公司所管理之所有業務活動相關的資訊資產，包含委託對象及外部服務。

3. 遵守法令
本公司遵守《個人資訊保護法》、《個人編號法》（My Number 法）、FISC 安全對策標準，以及與資訊安全相關之各項法令、國家制定之指引及其他規範。

4. 建立資訊安全管理體制
為保護並妥善管理資訊資產，本公司將建立資訊安全管理體制以及安全事件發生時之緊急應對體制。同時，本公司將配置資訊安全負責人，並由經營管理層主導建構資訊安全推進體制。

5. 制定資訊安全規程
為保護並妥善管理資訊資產，本公司將制定與資訊安全相關之規程，並向董事、高階主管及員工充分周知並徹底落實。

6. 實施資訊安全措施
本公司將根據各類資訊資產之特性，實施適當之資訊安全措施，努力預防資訊安全事故之發生。若發生事故，本公司將迅速應對，將損害控制在最小範圍內，並採取防止再次發生之措施。

7. 實施網路安全措施
本公司將日益高度化、複雜化之網路攻擊定位為經營上之重大風險，並努力強化網路安全措施，包括建構防止網路非法入侵、實施適當存取控制等多層防禦體系，以及完善能夠應對威脅之體制。

8. 實施資訊安全教育與訓練
本公司將面向所有董事、高階主管及員工實施教育與訓練，使其認識資訊安全之重要性，並掌握妥善使用及管理資訊資產所需之知識與技能，從而確保資訊安全相關工作得以確實落實。

9. 資訊資產之風險評估及持續改善
本公司將維持資訊安全相關措施，並為因應經營環境及社會情勢之變化，定期評估資訊安全管理體制及安全措施之實施情況，持續推動改善。

10. 委託對象及外部服務之管理
本公司將妥善管理包含委託對象、交易對象及雲端服務在內之供應鏈資訊安全風險，並視需要透過稽核或契約條款等方式，確保適當之資訊安全水準。

11. 違規及事故應對
發生與資訊安全相關之法令違反、契約違反或事故時，本公司將採取適當措施，並努力防止再次發生。此外，發生重大資訊安全事件時，本公司將迅速向經營管理層報告、分析原因，並制定防止再次發生之措施。

12. 確保業務連續性
本公司將制定、演練並定期檢討 BCP/DR 計畫，以確保即使發生大規模系統故障或災害時，重要業務仍能持續運作。

13. 稽核與評估
本公司將定期對本方針之運用情況實施內部稽核，並視需要接受外部稽核，持續推動改善。

修訂日期
2021年11月1日
2023年12月21日
代表董事　傑夫・鄭