資訊安全 | 恆耀科技有限公司

資訊安全承諾

恆耀科技有限公司深知資訊安全對企業營運與客戶信任的重要性。我們致力於建立完善的資訊安全管理制度，保護公司與客戶的資訊資產，確保資訊的機密性（Confidentiality）、完整性（Integrity）與可用性（Availability）。

機密性 Confidentiality

確保資訊僅供授權人員存取，防止未經授權的資訊洩露

完整性 Integrity

確保資訊的正確性與完整性，防止未經授權的修改或破壞

可用性 Availability

確保授權使用者能夠及時、可靠地存取所需資訊與系統

ISO 27001 資訊安全管理系統（ISMS）

恆耀科技積極導入 ISO 27001:2022 資訊安全管理系統，建立系統化的資安管理架構，持續提升資訊安全管理能力。

ISO 27001 認證資訊

認證狀態	規劃導入中（預計 2025 年取得認證）
認證標準	ISO/IEC 27001:2022
認證範圍	專案開發、AI 導入、物流系統整合服務之資訊安全管理
證書編號	待取得認證後填寫
發證機構	待取得認證後填寫
發證日期	待取得認證後填寫
有效期限	待取得認證後填寫

註：本公司正積極進行 ISO 27001 導入作業，預計於 2025 年完成認證。認證完成後將於此處公布完整證書資訊。

資訊安全治理架構

恆耀科技建立完善的資安治理架構，確保資訊安全政策能夠有效執行與持續改善。

資訊安全負責人

由高階主管擔任資訊安全負責人，負責資安政策制定、資源配置與重大決策

資安推動小組

跨部門資安推動小組，負責資安制度規劃、執行與監督

管理審查

定期進行管理審查會議，檢視資安管理系統運作成效

內部稽核

定期執行內部稽核，確保資安制度有效落實

PDCA 持續改善

採用 PDCA（Plan-Do-Check-Act）循環，持續改善資安管理

資訊安全控制措施

我們實施多層次的資安控制措施，全面保護資訊資產安全。

1. 資產管理與分類

建立完整的資訊資產清冊
依機密性等級分類管理
定義資產擁有者與使用權限
定期檢視與更新資產清冊

2. 存取控制

實施最小權限原則（Least Privilege）
強制使用強密碼政策
多因素身分驗證（MFA）
定期審查與調整存取權限
離職人員權限即時撤銷

3. 加密與資料保護

敏感資料傳輸加密（TLS/SSL）
資料庫加密與遮罩
行動裝置與筆記型電腦磁碟加密
個人資料去識別化處理

4. 安全開發生命週期

安全需求分析與威脅建模
安全編碼規範與程式碼審查
靜態與動態安全測試
第三方套件安全性檢查
安全部署與組態管理

5. 弱點管理

定期弱點掃描與滲透測試
及時修補系統與應用程式漏洞
追蹤與管理已知弱點
建立弱點修補流程與時程

6. 監控與日誌管理

24/7 系統與網路監控
集中化日誌收集與分析
異常行為偵測與告警
日誌保存符合法規要求

7. 備份與營運持續

定期資料備份與異地備援
備份資料加密保護
定期測試備份還原作業
制定營運持續計畫（BCP）
災難復原計畫（DRP）與演練

8. 資安事件應變

建立資安事件應變小組
定義事件分類與處理流程
24 小時資安事件通報機制
事件調查、分析與改善
定期進行資安事件演練

9. 第三方管理

供應商資安評估與稽核
合約明訂資安責任與要求
定期檢視供應商資安狀況
資料處理協議（DPA）簽署

資訊安全教育訓練

我們深信資安文化的建立始於全員的資安意識。恆耀科技定期舉辦資安教育訓練，提升全體同仁的資安認知與實務能力。

新進人員訓練

新進同仁必須完成資安基礎訓練，了解公司資安政策與規範

年度資安訓練

全體同仁每年至少接受一次資安教育訓練

專業技術訓練

技術人員接受進階資安技術訓練，如安全開發、滲透測試等

社交工程演練

定期進行釣魚郵件演練，提升同仁警覺性

法規遵循

恆耀科技遵守相關資訊安全與個人資料保護法規，包括但不限於：

個人資料保護法
資通安全管理法
電子簽章法
其他相關產業法規要求

持續改善承諾

資訊安全是一個持續演進的過程。恆耀科技承諾：

持續關注最新資安威脅與技術發展
定期檢視與更新資安政策與措施
投入適當資源強化資安防護能力
培養全員資安意識與文化
與客戶、合作夥伴共同維護資訊安全

資訊安全聯絡窗口

如您發現任何資安疑慮或需要回報資安事件，請立即聯絡我們：

資安聯絡信箱：security@hengyaotech.com

資安事件通報：請於發現後立即透過上述信箱通報

我們承諾在收到通報後 24 小時內回應，並依事件嚴重程度啟動相應處理程序。