Trustworthiness
Competitive
Advantages
High Growth Potential
Application
of Professionalism

信息安全政策

一、信息安全政策

  1. 目的
    • 资讯安全乃维系各项服务运作之基础,为维护崇越科技股份有限公司(以下简称本公司)之人员、资料、资讯系统、设备及网路的安全运作,特订定资讯安全政策(以下简称本文件)作为最高指导原则。
  2. 范围
    • 凡集团内全体同仁、客户、委外或合作厂商、第三方人员以及所有相关资讯资产之安全管理,应依资讯安全政策处理。
  3. 内容:
    • 本公司秉持「勤信为本、专业为用、成果共享」的经营理念,保护利害关系人之资讯安全与权益,订定资讯安全声明为:「服务不间断,资料不流失,资讯不外泄,企业永经营」。
    • 为确保管理系统能有效运作,明定资讯安全组织及权责,以推动及维持各类管理、执行与查核等工作。
    • 资讯安全管理系统依据规划(Plan)、执行(Do)、查核(Check)及调整(Act)模式实施,以周而复始、循序渐进的精神,确保资讯业务运作之有效性及持续性。
    • 为反映相关法令法规、科技变化、客户期望、业务活动、内部环境与资源等最新现况,每年应执行乙次以上资讯安全稽核,报请「董事会」审查并决定是否修订本文件。如是,须再次将修订内容报请审查,经「资安管理委员会」发布后生效。
    • 订定或修订后应以书面、电子邮件或其他方式告知利害关系人,如:所属员工、供应商等。

二、建置资讯安全风险管理架构

  1. 本公司成立资讯安全委员会,掌管营运所需之资讯科技相关事项,由执行长担任主席(召集人),资讯单位最高主管兼任资讯安全长(Chief Information Security Officer)统合各事业单位、资讯、稽核、法务、风险控管及人事等单位之最高主管组成,定期召开相关会议,以进行资安事务之决策、管理与推动,落实企业经营者的责任,保障股东的合法权益且兼顾其他利害关系人的利益。
  2. 以「风险管理」之角度推行控管,定期自我评估资安管理能力,透过资讯安全稽核持续优化,形成改善与强化之管理循环,并确保各项业务运作顺利。
  3. 建立威胁情资分析与预警机制,透过集团、子公司与外部单位的情报分享,提供资安事件资料、报表及其他资讯,协助公司提升资讯安全管理系统。
  4. 落实通报程序与应变措施,提升内部人员面对突发状况之应对与协调能力,将资讯安全事件带来的损害极小化,以此提升公司韧性。

三、资讯安全具体管理方案

  1. 本公司成立资讯安全委员会,掌管营运所需之资讯科技相关事项,由执行长担任主席(召集人),资讯单位最高主管兼任资讯安全长(Chief Information Security Officer)统合各事业单位、资讯、稽核、法务、风险控管及人事等单位之最高主管组成,定期召开相关会议,以进行资安事务之决策、管理与推动,落实企业经营者的责任,保障股东的合法权益且兼顾其他利害关系人的利益。
  2. 以「风险管理」之角度推行控管,定期自我评估资安管理能力,透过资讯安全稽核持续优化,形成改善与强化之管理循环,并确保各项业务运作顺利。
  3. 建立威胁情资分析与预警机制,透过集团、子公司与外部单位的情报分享,提供资安事件资料、报表及其他资讯,协助公司提升资讯安全管理系统。
  4. 落实通报程序与应变措施,提升内部人员面对突发状况之应对与协调能力,将资讯安全事件带来的损害极小化,以此提升公司韧性。
更新时间:2021年03月16日

信息安全政策

  1. 目的
    • 为维护本公司之永续经营,确实遵循相关政令法规,并保护本公司信息资产免于外在威胁,或避免内部人员不当管理与使用,致遭受窜改、揭露、破坏或遗失等风险,以确保信息资产之机密性、完整性、可用性与个人资料保护之要求,本公司已于民国102年订定信息安全政策作为信息安全管理之最高指导原则与遵循依据,以强化信息安全管理制度,有效地降低本公司营运风险。
  2. 适用范围
    • 凡集团内所有公司之全体同仁、客户、委外或合作厂商、第三方人员以及所有相关信息资产之安全管理,应依信息安全政策处理。
  3. 定义
    1. 信息安全 : 避免因人为疏失、蓄意或自然灾害等风险,运用系统化之控制措施,包含政策、实施、稽核、组织和软硬件功能等,以保护公司信息资产与个人资料之安全;并符合鉴别性、可归责性、不可否认性及可靠度等性质。
    2. 信息资产 : 凡本公司人员、文件、电子文件、服务设施、网络设施、通讯设施、软件、硬件、媒体、建筑保护设施等皆属之。
    3. 机密性 : 确保只有获得授权的人员及程序才能存取信息。
    4. 完整性 : 确保信息与处理方式精确性及完整性。
    5. 可用性 : 确保获得授权的使用者在需要时可以用相关信息资产。
    6. 个人资料 : 由政令法规所规范之应保护个人资料。
  4. 组织与权责
    1. 信息安全委员会 : 由执行长担任主席(召集人),信息单位最高主管兼任信息安全长(Chief Information Security Officer)暨执行秘书,统合业务、信息、稽核、法务、风险控管及人事等单位之最高主管组成信息安全委员会,进行信息安全相关事务之决策与管理。
    2. 信息安全组织 : 由信息安全委员会指挥信息安全管理、稽核、法务、风险控管、推广训练等小组,执行信息安全相关政策及作业之管理与实施。
  5. 作业内容
    1. 依据 ISO27001信息安全管理国际标准规范,将本公司信息安全管理分为信息安全政策、信息安全的组织、资产管理、人力资源安全、实体与环境安全、通讯与作业管理、访问控制、信息系统获取开发及维护、信息安全事故管理、营运持续管理及遵循性等十一个领域。
    2. 依据本公司所颁布之各项管理办法及程序规范,作为信息安全管理执行方针与程序,包括:管理规章、计算机作业内部制度、资产管理办法、计算机设施管理办法、档案管理办法、职务授权及代理人办法、离职手续管理办法、识别证管理办法、计算机机房管理办法、因特网暨电子邮件管理办法、计算机权限管理办法、客户供货商B2B系统使用规格、应用系统开发管理办法、应用系统数据异动说明书、紧急通报管理办法、资安事件应变及通报作业程序、计算机主机复原办法、管理制度审查程序书、文件管理程序书、矫正与预防程序书、个人资料档案安全维护办法等。
    3. 信息安全管理措施说明如下:
      • 制度规范:订定公司信息安全管理制度,规范人员作业行为。
      • 系统防护:建置各式资安防护系统,以提升整体信息环境之安全性。
      • 人员训练:不定期实施信息安全机会倡导,藉以提升公司同仁资安知识与专业技能。
  1. 作业循环
    1. 规划(Plan) : 建立信息安全管理制度,拟定风险管理及持续营运计划。
    2. 执行(Do) : 建立管理文件体系,执行管理程序并实施教育训练及倡导。
    3. 查核(Check) : 执行监控程序,定期实施稽核、风险及绩效评估。
    4. 行动(Act) : 定义改善需求,执行改善作业,报告执行结果,持续追踪改善。
  1. 作业原则
    1. 每年执行乙次以上,以反应政令法规、技术及业务等最新发展现况,以确保信息实务作业确实遵守资通安全政策,和确保作业之可行性及有效性,以确保本公司提供信息服务之能力。
    2. 每年执行乙次以上信息安全稽核。
    3. 每年执行乙次以上营运持续计划之测试及检核。
    4. 确保信息资产受适当保护,防止未经授权或因作业疏忽对资产所造成之损害。
    5. 确保所有资通安全事件或可疑之安全弱点,皆依通报程序反应,并予以适当调查及处理。
    6. 确保本公司资通安全管理制度运作持续正常。
  2. 倡导与实施
    • 为确保信息安全政策确实落实,应定期实施信息安全制度及作业之倡导与教育训练。

更新时间:2020年05月19日