一、资讯安全政策
目的
崇越科技股份有限公司(以下简称本公司)秉持「勤信为本、专业为用、成果共享」的经营理念,保护利害关係人之资讯安全与权益,并维护订定资讯安全声明为:「服务不间断,资料不流失,资讯不外洩,企业永经营」;为维护本公司之人员、资料、资讯系统、设备及网路的安全运作,特订定资讯安全政策(以下简称本文件)作为最高指导原则。
范围
凡集团内全体同仁、客户、委外或合作厂商、第三方人员以及所有相关资讯资产之安全管理,应依资讯安全政策处理。
内容
- 本公司秉持「勤信为本、专业为用、成果共享」的经营理念,保护利害关係人之资讯安全与权益,订定资讯安全声明为:「服务不间断,资料不流失,资讯不外洩,企业永经营」。
- 为确保管理系统能有效运作,明定资讯安全组织及权责,以推动及维持各类管理、执行与查核等工作。
- 资讯安全管理系统依据规划(Plan)、执行(Do)、查核(Check)及调整(Act)模式实施,以週而復始、循序渐进的精神,确保资讯业务运作之有效性及持续性。
- 为反映相关法令法规、科技变化、客户期望、业务活动、内部环境与资源等最新现况,每年应执行乙次以上资讯安全稽核,报请「董事会」审查并决定是否修订本文件。如是,须再次将修订内容报请审查,经董事长公布施行。
- 订定或修订后应以书面、电子邮件或其他方式告知利害关係人,如:所属员工、供应商等。
二、建置资讯安全风险管理架构
- 本公司成立资讯安全工作小组,掌管营运所需之资讯科技相关事项,由资讯单位最高主管(担任主席(召集人),统合业务、资讯、资安、法务、风险控管及人事等单位组成,定期召开相关会议,以进行资讯安全相关事务之决策、管理与推动,落实企业经营者的责任,保障股东的合法权益且兼顾其他利害关係人的利益。
- 设置资安专责单位-资安官室及资安专责主管,负责资通安全政策及目标之规划与执行,包含:维护计画规划及执行、实施情形督导、检讨及监督、责任等级审查、稽核计画规划及执行、稽核结果管考,以及其他资通安全事项之规划与推动。
- 以「风险管理」之角度推行控管,定期自我评估资安管理能力,透过资讯安全稽核持续优化,形成改善与强化之管理循环,并确保各项业务运作顺利。
- 建立威胁情资分析与预警机制,透过集团、子公司与外部单位的情报分享,提供资安事件资料、报表及其他资讯,协助公司提升资讯安全管理系统。
- 落实通报程序与应变措施,提昇内部人员面对突发状况之应对与协调能力,将资讯安全事件带来的损害极小化,以此提升公司韧性。
三、资讯安全具体管理方案
- 各项服务品质严格要求,通过ISO 9000管理标准,并参酌国际资讯安全标准制定相关规范。
- 订定资安管理政策,结合PDCA方法力求逐步精进,以保护人员、资料、资讯系统、设备及网路之安全等机密性、完整性、可用性、遵循性。
- 高阶主管积极参与资安管理活动,提供支持及承诺。
- 每月召开资安管理会议,反应政令法规、外内部风险、科技技术及业务需求等最新发展,以达到利害关係人期待,1年共12次。
- 以风险控管出发,评估并降低风险,以确保资讯资产之机密性、完整性、可用性、合规性。
- 定期执行灾害復原演练及异地备援演练等各项营运演练活动,以确保公司服务面对外部威胁时,可以快速因应,展现公司韧性,达到「服务不间断,资料不流失,资讯不外洩,企业永经营」中服务不间断之承诺。
- 定期备份并进行备份演练,以达到「服务不间断,资料不流失,资讯不外洩,企业永经营」中资料不流失之承诺。
- 启用资料外洩防护(DLP)工具,以达到「服务不间断,资料不流失,资讯不外洩,企业永经营」中资讯不外洩之承诺。
- 引进新式技术,佈建即时监控设备与防护系统,积极深化机密资讯保护机制,提昇整体资讯环境之安全性,降低各项风险发生率,以保障客户、合作伙伴、利害关係人之利益。
- 依照个人资料保护法、资通安全管理法等相关规定,审慎处理、保护个人资讯及其相关系统安全。
- 导入SIEM/SOC进行7*24即时监控,于疑似事件发生时可即时识别、应对及处理,将风险降至最低。
- 落实资讯安全稽核,确保本公司各项业务恪遵相关政策,使资安管理制度持续正常运作。
- 于2024年第3季进行社交工程演练,为展现社交工程真实性,本次演练情境设计较灵活,本次误触率为仅1.8%,对于误触者再教育,有效促进同仁更严谨之资通安全意识。
- 每年定期对全体同仁进行资通安全教育训练与不定期资安宣导,使其瞭解资通安全的重要性,以提高资通安全意识,并遵守资通安全相关规定,2024年度全体同仁资通安全教育训练达成率100%。