資訊安全風險管理架構
本公司的資訊安全體系、計畫及技術規範之研議、建置及評估等事項,由資訊單位負專責,於112年5月4日董事會已決議通過設置資安主管一名,資安人員一名,負責資安技術控管,確保公司資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題、及利害相關團體對本公司之資訊安全要求與期望、執行資訊安全防護相關工作、資訊安全事件應變處理、及資訊安全事件事後復原能力,以預防資訊安全事件之發生及降低資訊安全事件之損失。
資訊安全政策
本公司確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,持續導入資訊科技管理工具、及不斷強化資訊安全管理機制,以持續有效運作資訊安全管理及隱私權保護等機制。
為落實資訊安全管理,普誠科技制定了一系列文件與規範,包括「資訊系統權限說明」、「個人電腦使用管理辦法」、「電子郵件管理辦法」、「資訊系統復原政策」、「資料備份執行細則」、「電腦系統作業維護管制程序」及「資訊設備遺失通報作業指導書」。其文件內容規範公司內部的資訊安全管理,要求全體員工遵守相應的管理辦法與程序,以確保資訊系統的安全性與可靠性,並提高本公司整體的資訊安全水平。
資訊安全具體管理方案
一、資訊安全管理及稽核機制
本公司稽核部門是為查核資訊部門之單位,落實資訊安全管理機制,以PDCA循環運作模式建立、實施、維護、與改善資訊安全管理制度。
二、資訊安全技術控管建置
透過建置資訊安全監控系統、以預防駭客侵入及竊取公司機密資料。建立完整資訊系統安全防護網,包含機房、網路設備、網路連線及個人資訊設備管理(例如桌上型電腦、筆記型 電腦、平板電腦及智慧型手機等),以落實員工個人資料、公司機密資料、客戶及供應商等資料保護,近期並已申請加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員,已於2023年12月審核通過,該中心可提供資安事件諮詢及協調協處服務,俾事先取得資安預警情資、瞭解資安威脅與弱點資訊及通報資通安全事件,共同提升臺灣整體資安聯防能量並有效提升公司自身防護能力。
其他資安防護機制:
-
設置防火牆管控Internet網際網路
-
嚴格管控電腦帳號權限、內部網路存取及遠端使用。
-
異地備份:定期備份資料檔案、系統與應用程式等,並妥善保存於防火櫃。
-
資訊系統復原機制:以設備更新與回復備份資料方式復原資訊系統。
-
因應天然及人為災害:注意用電負荷、配置消防設施,使用UPS系統以穩定機房供電;設置高架地板、防止天花板漏水、牢固機櫃與置放於其中的設備並隨時記錄資訊室機房進出。
三、資訊安全教育訓練
為提升本公司員工對資訊安全之意識與認知:
(1)資訊安全認知宣導:為提高員工資訊安全意識,適時透過各種管道、及會議進行資訊安全相關訊息公告及宣導。
(2)資訊安全教育訓練:
I、新進員工報到當日即簽署從業人員職業道德服務協議並接受資訊安全相關教育訓練,以瞭解公司資訊安全政策與要求。
II、除公司所舉辦之教育訓練外,單位資訊人員參與外部所舉辦之相關訓練活動、或研討會(包括線上),吸取資訊安全防護機制、及最新資訊安全攻擊型態,以強化資訊安全防護。
III、透過不定期演練,以提升員工資安意識。
重大資通安全事件所遭受之損失、可能影響及因應措施
最近年度營運無發生因資通安全事件之重大情事所衍生之相關的財務賠償或損失。
致力於保護內、外部之營運相關資訊資產安全與隱私,及重視來自內、外部之資安威脅的防禦,持續跟進相關國內外資安威脅情資,以適時管理各項資安作業與監控,以減少企業因資安威脅造成之營運影響,落實資通安全之責任,實現企業永續發展。
-
初步識別「事件屬性」:如中毒、或是社交工程等;
-
進行初步反應:如隔離受影響的設備、網段區域等;
-
檢查是否已完成區隔?是否需要再擴大離範圍?
-
查驗主要的營運設備是否受影響?
-
針對受影響的設備進行處理、記錄報告,是否需要合作廠商協助處理、或更新設備等;如屬重大事件則進行相關提報作業、如台灣CERT_CSIRT聯盟等。
-
進行回復作業。
客戶隱私保護之承諾
為維護客戶隱私,公司應該限制其個人資料的蒐集、透過合法的手段蒐集資料,以及就如何蒐集、使用及保護予以透明化。除非經客戶同意,公司亦不可因任何目的,揭露或使用客戶資料,且須與客戶直接溝通和資訊保護政策或措施相關之任何改變。本公司已透過建置資訊安全監控系統與完整資訊系統安全防護網,以落實員工個人資料、公司機密資料、客戶及供應商等資料保護。