|
本公司成立資訊安全推動小組,由召集人、管理代表、執行秘書、資訊安全管理小組、緊急處理小組以及稽核小組組成,擬訂各項資訊安全發展方向及策略,推動及辦理資訊安全管理之各項工作,以確保資訊安全管理制度持續穩健運作。
| • |
資訊安全推動小組:本公司資訊安全之決策管理組織,綜理資訊安全之推動。 |
| • |
管理代表:統籌資訊安全相關議題之制度規劃、資源協調以及專案推行。
|
| • |
執行秘書:協助管理代表及召集人執行資訊安全管理業務。
|
| • |
資訊安全管理小組:負責本公司資訊系統資訊安全管理制度之規劃、建立、實施、維護、審查以及持續改善;向資訊安全推動小組提報資訊安全相關議題,協調確立稽核時程,監督稽核執行以及預防矯正改善等措施。 |
| • |
緊急處理小組:任務編組;監測追蹤重大資訊安全事件發展,維護、更新並執行各項災害復原程序。 |
| • |
稽核小組:訂定資訊安全相關之稽核計畫、執行相關稽核作業、追蹤不符稽核準則事項之預防矯正措施。 |
可成科技致力於資訊安全管理,保護公司產品與服務,避免有未經授權之存取、修改、使用與揭露,以及天然災害所引起之損失,並適時提供完整與可用資訊,確保公司重要資訊財產之機密性、完整性及可用性,同時符合相關法規要求,俾獲得客戶信賴,履行對股東承諾,保證公司重要業務之持續運作。
| • |
「全員參與、提升資安意識」:透過全員認知,達成資訊安全人人有責的共識。 |
| • |
「積極預防、落實資安管理」:建置各項資安技術,導入資訊安全管理制度,秉持Plan-Do-Check-Act (PDCA)原則持續改進。 |
| • |
「客戶信賴、確保永續經營」:提供安全及受客戶信賴之生產環境,確保公司業務永續營運。 |
為展現貫徹資訊安全管理決心,確保所有資訊與資訊系統獲得適當保護,本公司依據ISO/IEC 27001:2013標準建立、記載、實施以及維護資訊安全管理系統,並持續改進系統之有效性。
目標:
| • |
對本公司所儲存或傳遞之資訊採取適當保護及防範措施。 |
| • |
降低發生毀損、失竊、洩漏、竄改、濫用以及侵權等資通安全事件之衝擊。 |
| • |
持續提升各資訊服務系統所有作業之機密性、完整性與可用性。 |
本公司依據ISO/IEC 27001:2013標準,採用Plan-Do-Check-Act (PDCA)循環運作模式,建立與實施資訊安全管理系統,並維繫其有效運作與持續改進。
| • |
建立資訊安全管理組織,負責推動、協調及督導資訊安全管理事項。 |
| • |
每年執行乙次管理審查以確保資訊安全管理系統運作之適切、充足與有效性;審查範圍包含資訊安全管理系統之改進方案與需求變更評估。 |
| • |
建立資訊安全指標,評估資訊安全績效及資訊安全管理制度之有效性。 |
| • |
定期或不定期進行安全評估或稽核作業,檢討控管目標、措施與程序是否合法合規,或符合相關資安需求,並依規劃有效執行與維持,以持續提升資訊安全管理系統之有效性。 |
| 完善資安管理制度 |
強化資安防護演練 |
提升員工資安素養 |
|
•
|
本公司於111年10月18日取得ISO/IEC 27001:2013外部認證,效期至114年10月18日。本公司及海外子公司依據ISO/IEC 27001:2013標準,採用Plan-Do-Check-Act (PDCA)循環運作模式,建立與實施資訊安全管理系統,維持ISO/IEC 27001認證之有效性並持續改進
|
|
•
|
112年度設置資安長及資安專責單位/人員,持續推動資訊安全規範與措施
|
|
•
|
112年度加入資通安全情資分享平臺(TWCERT),促進公司資安情資分享與聯防
|
|
•
|
112年度累計召開14場次資訊安全管理會議
|
|
•
|
依據現行作業流程並考量資訊安全管理體系之運行,合計共修訂35份文件
|
|
•
|
委託外部顧問執行NIST CSF資安成熟度評估,強化資安管理體制
|
|
•
|
實施供應商資安查核,降低風險
|
|
|
•
|
112年度共計完成7次關鍵資訊系統營運演練,強化營運應變能力
|
|
•
|
112年度共計完成2次資訊安全事件通報演練,強化資安事件應變能力
|
|
•
|
定期執行全廠域裝置弱點掃描2次及風險評鑑;112年度針對高風險項目改善完成率達100%
|
|
|
•
|
依據風險並參考時事,製作50篇資訊安全宣導文件,持續傳遞資訊安全重要規定及相關事項。112年度向公司同仁發出累計逾11萬人次資安宣導
|
|
•
|
100%資安通識課程完訓率。本公司所有員工,總計逾2,500名人員,均已完成年度資訊安全及資料保護教育訓練
|
|
•
|
112年度辦理共計4次社交工程演練,年平均點擊率<6%
|
|
|
