一、资讯安全政策
目的
资讯安全乃维繫各项服务运作之基础,为维护崇越科技股份有限公司(以下简称本公司)之人员、资料、资讯系统、设备及网路的安全运作,特订定资讯安全政策(以下简称本文件)作为最高指导原则。
范围
凡集团内全体同仁、客户、委外或合作厂商、第三方人员以及所有相关资讯资产之安全管理,应依资讯安全政策处理。
内容
- 本公司秉持「勤信为本、专业为用、成果共享」的经营理念,保护利害关係人之资讯安全与权益,订定资讯安全声明为:「服务不间断,资料不流失,资讯不外洩,企业永经营」。
- 为确保管理系统能有效运作,明定资讯安全组织及权责,以推动及维持各类管理、执行与查核等工作。
- 资讯安全管理系统依据规划(Plan)、执行(Do)、查核(Check)及调整(Act)模式实施,以週而復始、循序渐进的精神,确保资讯业务运作之有效性及持续性。
- 为反映相关法令法规、科技变化、客户期望、业务活动、内部环境与资源等最新现况,每年应执行乙次以上资讯安全稽核,报请「董事会」审查并决定是否修订本文件。如是,须再次将修订内容报请审查,经「资安管理委员会」发佈后生效。
- 订定或修订后应以书面、电子邮件或其他方式告知利害关係人,如:所属员工、供应商等。
二、建置资讯安全风险管理架构
- 本公司成立资讯安全委员会,掌管营运所需之资讯科技相关事项,由执行长担任主席(召集人),资讯单位最高主管兼任资讯安全长(Chief Information Security Officer)统合各事业单位、资讯、稽核、法务、风险控管及人事等单位之最高主管组成,定期召开相关会议,以进行资安事务之决策、管理与推动,落实企业经营者的责任,保障股东的合法权益且兼顾其他利害关係人的利益。
- 设置资安专责单位-资安官室、资安专责主管与8名资安人员,负责资通安全政策及目标之规划与执行,包含:维护计画规划及执行、实施情形督导、检讨及监督、责任等级审查、稽核计画规划及执行、稽核结果管考,以及其他资通安全事项之规划与推动。
- 以「风险管理」之角度推行控管,定期自我评估资安管理能力,透过资讯安全稽核持续优化,形成改善与强化之管理循环,并确保各项业务运作顺利。
- 建立威胁情资分析与预警机制,透过集团、子公司与外部单位的情报分享,提供资安事件资料、报表及其他资讯,协助公司提升资讯安全管理系统。
- 落实通报程序与应变措施,提昇内部人员面对突发状况之应对与协调能力,将资讯安全事件带来的损害极小化,以此提升公司韧性。
三、资讯安全具体管理方案
- 各项服务品质严格要求,通过ISO 9000管理标准,并参酌国际资讯安全标准制定相关规范。
- 订定资安管理政策,结合PDCA方法力求逐步精进,以保护人员、资料、资讯系统、设备及网路之安全等机密性、完整性、可用性、遵循性。
- 高阶主管积极参与资安管理活动,提供支持及承诺。
- 每月召开资安管理会议,反应政令法规、外内部风险、科技技术及业务需求等最新发展,以达到利害关係人期待,1年共12次
- 以风险控管出发,评估并降低风险,以确保资讯资产之机密性、完整性、可用性、合规性。
- 引进新式技术,佈建即时监控设备与防护系统,积极深化机密资讯保护机制,提昇整体资讯环境之安全性,降低各项风险发生率,以保障客户、合作伙伴、利害关係人之利益。
- 持续进行各项营运演练活动,以确保公司服务面对外部威胁时,可以快速因应,展现公司韧性。
- 依照个人资料保护法、资通安全管理法等相关规定,审慎处理、保护个人资讯及其相关系统安全。
- 落实资讯安全稽核,确保本公司各项业务恪遵相关政策,使资安管理制度持续正常运作。
- 每年定期进行社交工程演练,误触率逐年下降,对于误触者再教育,有效提升资通安全意识与事件应变处理能量。
- 每年定期对全体人员进行资通安全教育训练与宣导,使其瞭解资通安全的重要性,以提高资通安全意识,并遵守资通安全相关规定,2023年度全体同仁资通安全教育训练上课率100%。