一、資訊安全政策
目的
資訊安全乃維繫各項服務運作之基礎,為維護崇越科技股份有限公司(以下簡稱本公司)之人員、資料、資訊系統、設備及網路的安全運作,特訂定資訊安全政策(以下簡稱本文件)作為最高指導原則。
範圍
凡集團內全體同仁、客戶、委外或合作廠商、第三方人員以及所有相關資訊資產之安全管理,應依資訊安全政策處理。
內容
- 本公司秉持「勤信為本、專業為用、成果共享」的經營理念,保護利害關係人之資訊安全與權益,訂定資訊安全聲明為:「服務不間斷,資料不流失,資訊不外洩,企業永經營」。
- 為確保管理系統能有效運作,明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作。
- 資訊安全管理系統依據規劃(Plan)、執行(Do)、查核(Check)及調整(Act)模式實施,以週而復始、循序漸進的精神,確保資訊業務運作之有效性及持續性。
- 為反映相關法令法規、科技變化、客戶期望、業務活動、內部環境與資源等最新現況,每年應執行乙次以上資訊安全稽核,報請「董事會」審查並決定是否修訂本文件。如是,須再次將修訂內容報請審查,經「資安管理委員會」發佈後生效。
- 訂定或修訂後應以書面、電子郵件或其他方式告知利害關係人,如:所屬員工、供應商等。
二、建置資訊安全風險管理架構
- 本公司成立資訊安全委員會,掌管營運所需之資訊科技相關事項,由執行長擔任主席(召集人),資訊單位最高主管兼任資訊安全長(Chief Information Security Officer)統合各事業單位、資訊、稽核、法務、風險控管及人事等單位之最高主管組成,定期召開相關會議,以進行資安事務之決策、管理與推動,落實企業經營者的責任,保障股東的合法權益且兼顧其他利害關係人的利益。
- 以「風險管理」之角度推行控管,定期自我評估資安管理能力,透過資訊安全稽核持續優化,形成改善與強化之管理循環,並確保各項業務運作順利。
- 建立威脅情資分析與預警機制,透過集團、子公司與外部單位的情報分享,提供資安事件資料、報表及其他資訊,協助公司提升資訊安全管理系統。
- 落實通報程序與應變措施,提昇內部人員面對突發狀況之應對與協調能力,將資訊安全事件帶來的損害極小化,以此提升公司韌性。
三、資訊安全具體管理方案
- 各項服務品質嚴格要求,通過ISO 9000管理標準,並參酌國際資訊安全標準制定相關規範。
- 訂定資安管理政策,結合PDCA方法力求逐步精進,以保護人員、資料、資訊系統、設備及網路之安全等機密性、完整性、可用性、遵循性。
- 高階主管積極參與資安管理活動,提供支持及承諾。
- 定期召開資安管理會議,反應政令法規、外內部風險、科技技術及業務需求等最新發展,以達到利害關係人期待。
- 以風險控管出發,評估並降低風險,以確保資訊資產之機密性、完整性、可用性、合規性。
- 引進新式技術,佈建即時監控設備與防護系統,積極深化機密資訊保護機制,提昇整體資訊環境之安全性,降低各項風險發生率,以保障客戶、合作夥伴、利害關係人之利益。
- 持續進行各項營運演練活動,以確保公司服務面對外部威脅時,可以快速因應,展現公司韌性。
- 依照個人資料保護法、資通安全管理法等相關規定,審慎處理、保護個人資訊及其相關系統安全。
- 落實資訊安全稽核,確保本公司各項業務恪遵相關政策,使資安管理制度持續正常運作。