一、資訊安全政策
目的
崇越科技股份有限公司(以下簡稱本公司)秉持「勤信為本、專業為用、成果共享」的經營理念,保護利害關係人之資訊安全與權益,並維護訂定資訊安全聲明為:「服務不間斷,資料不流失,資訊不外洩,企業永經營」;為維護本公司之人員、資料、資訊系統、設備及網路的安全運作,特訂定資訊安全政策(以下簡稱本文件)作為最高指導原則。
範圍
凡集團內全體同仁、客戶、委外或合作廠商、第三方人員以及所有相關資訊資產之安全管理,應依資訊安全政策處理。
內容
- 本公司秉持「勤信為本、專業為用、成果共享」的經營理念,保護利害關係人之資訊安全與權益,訂定資訊安全聲明為:「服務不間斷,資料不流失,資訊不外洩,企業永經營」。
- 為確保管理系統能有效運作,明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作。
- 資訊安全管理系統依據規劃(Plan)、執行(Do)、查核(Check)及調整(Act)模式實施,以週而復始、循序漸進的精神,確保資訊業務運作之有效性及持續性。
- 為反映相關法令法規、科技變化、客戶期望、業務活動、內部環境與資源等最新現況,每年應執行乙次以上資訊安全稽核,報請「董事會」審查並決定是否修訂本文件。如是,須再次將修訂內容報請審查,經董事長公布施行。
- 訂定或修訂後應以書面、電子郵件或其他方式告知利害關係人,如:所屬員工、供應商等。
二、建置資訊安全風險管理架構
- 本公司成立資訊安全工作小組,掌管營運所需之資訊科技相關事項,由資訊單位最高主管(擔任主席(召集人),統合業務、資訊、資安、法務、風險控管及人事等單位組成,定期召開相關會議,以進行資訊安全相關事務之決策、管理與推動,落實企業經營者的責任,保障股東的合法權益且兼顧其他利害關係人的利益。
- 設置資安專責單位-資安官室及資安專責主管,負責資通安全政策及目標之規劃與執行,包含:維護計畫規劃及執行、實施情形督導、檢討及監督、責任等級審查、稽核計畫規劃及執行、稽核結果管考,以及其他資通安全事項之規劃與推動。
- 以「風險管理」之角度推行控管,定期自我評估資安管理能力,透過資訊安全稽核持續優化,形成改善與強化之管理循環,並確保各項業務運作順利。
- 建立威脅情資分析與預警機制,透過集團、子公司與外部單位的情報分享,提供資安事件資料、報表及其他資訊,協助公司提升資訊安全管理系統。
- 落實通報程序與應變措施,提昇內部人員面對突發狀況之應對與協調能力,將資訊安全事件帶來的損害極小化,以此提升公司韌性。
三、資訊安全具體管理方案
- 各項服務品質嚴格要求,通過ISO 9000管理標準,並參酌國際資訊安全標準制定相關規範。
- 訂定資安管理政策,結合PDCA方法力求逐步精進,以保護人員、資料、資訊系統、設備及網路之安全等機密性、完整性、可用性、遵循性。
- 高階主管積極參與資安管理活動,提供支持及承諾。
- 每月召開資安管理會議,反應政令法規、外內部風險、科技技術及業務需求等最新發展,以達到利害關係人期待,1年共12次。
- 以風險控管出發,評估並降低風險,以確保資訊資產之機密性、完整性、可用性、合規性。
- 定期執行災害復原演練及異地備援演練等各項營運演練活動,以確保公司服務面對外部威脅時,可以快速因應,展現公司韌性,達到「服務不間斷,資料不流失,資訊不外洩,企業永經營」中服務不間斷之承諾。
- 定期備份並進行備份演練,以達到「服務不間斷,資料不流失,資訊不外洩,企業永經營」中資料不流失之承諾。
- 啟用資料外洩防護(DLP)工具,以達到「服務不間斷,資料不流失,資訊不外洩,企業永經營」中資訊不外洩之承諾。
- 引進新式技術,佈建即時監控設備與防護系統,積極深化機密資訊保護機制,提昇整體資訊環境之安全性,降低各項風險發生率,以保障客戶、合作夥伴、利害關係人之利益。
- 依照個人資料保護法、資通安全管理法等相關規定,審慎處理、保護個人資訊及其相關系統安全。
- 導入SIEM/SOC進行7*24即時監控,於疑似事件發生時可即時識別、應對及處理,將風險降至最低。
- 落實資訊安全稽核,確保本公司各項業務恪遵相關政策,使資安管理制度持續正常運作。
- 於2024年第3季進行社交工程演練,為展現社交工程真實性,本次演練情境設計較靈活,本次誤觸率為僅1.8%,對於誤觸者再教育,有效促進同仁更嚴謹之資通安全意識。
- 每年定期對全體同仁進行資通安全教育訓練與不定期資安宣導,使其瞭解資通安全的重要性,以提高資通安全意識,並遵守資通安全相關規定,2024年度全體同仁資通安全教育訓練達成率100%。