▎更新日期：2025-07-01

為強化朝恩策略顧問股份有限公司 (以下簡稱本公司) 資訊安全與個人資料管理，確保所屬之資訊資產的機密性、完整性及可用性，使本公司業務得以持續運作，並符合相關法規之要求，以免於遭受內、外部的蓄意或意外之威脅，制訂此政策。

本公司主要業務活動，及其活動所涵蓋之各類型資訊資產與其使用者 (包含本公司員工、委外供應商及其授權使用之人員)。 

1. 資訊暨個資安全長：審查與核定本政策。
2. 資訊安全管理團隊：依本政策制訂、營運與維持資訊安全管理制度。
3. 本公司員工：依本政策落實資訊安全制度以滿足政策要求。

本公司導入並施行資訊暨個資安全之管理系統，以保障本公司客戶於本公司提供服務期間之資訊與個資安全，確保客戶與本公司之權益，提升客戶對本公司之信任。 

本公司依據政策，擬定下列目標：

• 確保本公司業務過程與資訊資產符合機密性、完整性與可用性。
• 確保本公司員工落實資訊安全暨個資保護之管理制度。
• 確保本公司客戶之資訊與個資受到本公司資訊安全暨個資保護管理制度之保護。
• 確保本公司業務過程及活動均符合適法性。
• 確保本公司於業務過程對個資之蒐集、處理與利用均符合隱私保護之法規要求。
• 確保本公司政策已考量必要之氣候變遷 (Climate Changes) 議題與關注方對氣候變遷
  之需求與期望。

應針對上述之目標擬定年度待辦事項、負責人員、所需資源、預計完成時間及評估方式，相關監督與量測程序，由本公司資訊暨個資安全團隊以過程辦法擬定之。

• 本政策由本公司管理階層建立與審核。
• 本公司管理階層宣示以下責任與承諾：

• 組織與授權資訊暨個資安全團隊，制訂與執行實施本政策所需之資訊暨個資安全管理系統，包含適當過程、程序、標準作業流程與指引等。
• 要求本公司所有人員、委外供應商及其人員於執行業務活動時，應符合本政策之要求，並應負責通報資訊安全或個資安全事件，如有危害資訊安全或個資安全之行為，將依本公司相關規定懲處，並視情節輕重追究其民、刑事與行政責任。
• 承諾投入必要之資源，以運作、維持及持續改善本政策之推動與落實。
• 每年定期審查資訊暨個資安全管理系統之績效，以確保管理系統之有效性。

• 本政策由資訊暨個資安全長核定後公告施行，修正時亦同。
• 本政策之變更，由本公司內部管道通報所有人員、委外供應商週知，並通知相關關注方。
• 本政策每年定期審查一次，並因應法令規章、經營環境與業務異動等因素進行修訂，以確保資訊暨個資安全管理系統之可行性與有效性。

• 個人資料保護法及其施行細則。
• ISO 27001:2022 / CNS 27001:2023
• ISO 27701:2019