為確保佳必琪國際股份有限公司(以下簡稱「本公司」)所屬之資訊資產的機密性、完整性及可用性,以符合資通安全管理法及其子法等相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,特訂定本政策。
本政策適用範圍為本公司之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。
資通安全管理範疇涵蓋組織、人員、實體及技術等4大領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種資通安全危害之可能風險。
◎ 為維護本公司資訊資產之機密性、完整性與可用性,期藉由本政策之實施,以達成下列目標:
◎ 建立安全及可信賴之資訊化作業環境,確保本公司資料、系統、設備及網路之安全,以保障本公司業務永續運作。
◎ 保護本公司業務服務之安全,確保資訊需經授權人員才可存取,以確保其機密性。
◎ 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
◎ 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。
◎ 確保本公司各項業務服務之執行須符合上市上櫃公司資通安全管控指引,以及相關法令規範之要求。
◎ 為保護本公司業務相關個人資料之安全,免於因外在威脅或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失或洩漏等風險。
◎ 確保本公司各項營運服務之執行須符合政府相關法令(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)規範之要求。
1.企業資通安全治理組織
佳必琪資通安全權責單位為資訊管理部,負責統籌資通安全及保護相關政策規劃,並執行資通安全作業與資安訊息之推動,提昇員工資安意識,定期監控網路流量、了解及掌握最新資安情報及資安攻擊情勢,且即時通報應變聯防,將損害控制降至最低。本公司稽核室為資通安全監理之督導單位,負責督導內部資安執行狀況,若有查核發現缺失,立即要求受查單位提出相關改善計畫與具體作為,提出稽核報告並落實改善。
2.公司企業資通安全組織架構
◎ 本公司應成立「資通安全管理委員會」,統籌資通安全事項推動。 ◎ 管理階層應積極參與及支持資通安全管理制度,並提供相關資源,以確保資通安全政策落實執行。 ◎ 本公司全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。 ◎ 本公司全體同仁、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制,通報資通安全事件或弱點。 ◎ 任何危及資通安全之行為,將視情節輕重追究其民事與刑事責任,或依本公司之相關規定進行議處。
◎ 為評量資通安全管理目標達成情形,本公司應訂定相關管理指標,並定期監控、評估及改善。
◎ 應定期審查本公司資通安全組織人員職掌,以確保資通安全工作之推展。
◎ 應符合主管機關之要求,依員工職務及責任提供適當之資通安全相關訓練。
◎ 應加強本公司資訊資產之環境安全,採取適當之保護及權限控管機制。
◎ 應確保資訊不被透漏給未經授權之第三者。
◎ 應加強存取控制,防止未經授權之不當存取,以確保本公司資訊資產已受適當之保護。
◎ 本公司資通系統開發應符合安全需求,並定期執行技術檢測及進行修補。
◎ 應確保所有資通安全事件或可疑之安全弱點情資,均依循適當之通報機制向上反應,並予以適當調查及處理。
1.企業資通安全管理政策架構
◎ 本公司資通安全權責單位為資訊管理部,設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資通安全政策、規劃暨執行資通安全作業與資安政策推動與落實,並定期向審計委員會報告公司資安治理概況。
◎ 建立安全且可信賴的資訊化作業環境,確保資料、系統、設備及網路之安全,確保資訊僅供授權人員存取,保障機密性,防止未經授權之修改,確保正確性與完整性
◎ 本公司稽核為資通安全監理之最終的防護機制,並設置稽核主管乙名與適任之稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,即要求受查單位提出相關改善計畫與具體作為,定期追蹤改善成效,以降低內部資安風險。
◎ 建立業務永續運作計畫(BCP),確保資訊業務持續運作。組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
◎ 確保各項業務服務符合主管機關、上市上櫃公司資通安全指引及相關法令規範,與營運服務之執行符合政府相關法令(如刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)
2.資安委員會運作情形:本公司已於2023/12/15設置資訊安全長一名、資安主管一名及資安人員一名,共三名成員。2023年度第一次開會於2023/12/22資安會議。
| 日期 | 案由 | 備註 |
|---|---|---|
| 2024/03/25 | (一)通過與發行資訊部「資訊管理辦法」。 | 2024年第1次資安委員會。 |
| 2024/07/16 |
(一)報告 各上市櫃公司資安事件發生原由與因應方式。 (二)說明 本公司資安防護機制規則與運作方式。 |
2024年第2次資安委員會。 |
| 2024/10/08 | (一)報告 資安團隊服務項目,討論規劃與評估資料健檢與弱點掃 描作業,加強集團網路安全強度。 | 2024年第3次資安委員會 |
3.加強存取控制與權限管理,防止未經授權存取,定期資安教育訓練與演練,加入台灣 CISO 聯盟,增進資安技術與經驗交流。
本政策應每年至少進行1次管理審查,以反映政府法令、資通安全標準、技術、主管機關要求及本公司管理制度運作實際需求,確保本公司業務永續運作;另主管機關(或法令、法規要求)、客戶或專家學者等利害關係人如有資通安全相關回饋事項,應列入管理審查會議之討論議題。
管理措施說明如下:
◎ 制度規範:本公司內部訂定多項資安規範與制度,以規範本公司人員資通安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。每年定期執行內部稽核,並每年執行外部稽核,以強化本公司機密資料之作業管理。
◎ 科技運用:本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。此外,為確保內部人員之作業行為符合公司制度規範,亦設計作業程序和導入資安系統工具,落實人員資訊安全管理措施。
◎ 人員訓練:本公司每季定期實施新進人員資訊安全教育訓練實務課程,以及透過公告平台宣導近期資訊安全問題與案例等,藉以提昇內部人員資安知識與專業技能。
資通安全管理措施
佳必琪為了加強資通安全的技術應用與經驗交流於今年加入台灣資安主管聯盟(簡稱:台灣CISO聯盟),聯盟主要願景及推動目標如下:
本政策經本公司「資通安全管理委員會」審查及核定後實施,修訂時亦同。
本公司目前無重大資安事件導致營業損害之情事。
