資訊安全管理
資訊安全政策
仲琦科技為保護資訊資產(與資訊處理相關之硬體、軟體、資料文件等)的機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,確保公司的持續營運,我們遵循ISO 27001 資訊安全國際標準製訂企業資安政策,並於2020 年6 月通過並取得ISO 27001 證書(2020~2023 年),持續精進資訊安全管理作業,每年定期覆核並通過,以保持證書持續有效。證書3 年期滿後於2023 年6 月通過重審換證,持續取得ISO27001-2013 證書(2023~2025 年)。
資訊安全管理委員會
仲琦科技於2019 年成立資訊安全組織負責資訊安全工作之推行。由總經理擔任主任委員,負責資訊安全各標準制度之建置、實施與維持,並統籌公司之管理制度、資源調度等事項之協調及研議。轄下設置總幹事與推行小組以及文件小組,並由稽核、資訊以及品質單位主管擔任指導委員,指導管理委員會之運行,以確保資訊安全任務明確之指派及資訊安全管理系統有效之聯繫。
總幹事本身具有一切與資訊安全管理運作的監督權責,當資訊安全管理系統運作發生異常時賦有向高階管理階層直接提報權力,不受行政系統與外部影響。推行小組負責ISO 27001 資訊安全管理系統的推動、維持及改善。文件小組負責定期會議中報告有關資訊安全管理系統之運作及有關之紀錄。
資訊安全管理系統 (ISMS)
仲琦考量組織中所有利益相關團體的資訊安全要求與期望後,特成立資訊安全管理系統推行委員會,推動資訊安全管理事項與推展資訊安全意識,並導入 PDCA 管理循環,用以建置資訊安全管理系統(ISMS),並於過程中因應內部與外在環境的改變,不斷調整管理方向、評估及提出改善方案,以維護建構 ISMS 的有效性,且每年定期向董事會報告執行情形。
委員會依據 ISO 27001:2013 之資訊安全管理架構,建立公司之資訊安全文件,包含資訊安全運作之表單紀錄、作業辦法、程序和政策等,據以制定組織管理、保護資訊資產、和資源分派使用的規章及辦法,階層化管理文件並對應各個資訊安全面向。
資訊安全風險管理
為降低資安風險,仲琦依據資訊安全政策,執行資安相關管理作業與重點措施,並強化資安防護概念,多管齊下做好資訊安全的管理機制。風險管理則依循 ISO 27001:2013 管理系統要求,引用 ISO 31000 風險管理原則與指導之框架與流程,建立風險管理架構,持續監控主要的風險,以達成風險管理的目標並降低人員、財物、信譽等損失。
資安與網路風險之評估
為妥善保護仲琦資訊安全管理制度內之活動,及落實相關規範並執行風險評鑑程序,透過風險評鑑結果以及內部會議決定風險事項之處理措施,以達到風險能有效降低、移轉、消除。資訊安全是一項持續的過程,仲琦每年定期檢視各項法規並評估修正公司內部的資訊安全規章,以確保符合法規及有效性,因應不斷變化的威脅和技術,並向同仁宣導相關內容。
資訊安全治理成效
本公司於 2019年開始導入 ISO 27001資訊安全管理制度(ISMS)標準,並已於 2020年 6月通過 SGS集團驗證,取得 SGS集團核發之 ISO/IEC 27001:2013證書,持續精進資訊安全管理作業,每年定期覆核並通過,以保持證書持續有效;證書3年期滿後於112年4月全面覆核通過,持續取得ISO 27001-2013證書(112~114年),另因應ISO 27001-2022轉版,擬定於114年進行轉版作業,持續落實資安策略中各面向之執行作業。
藉由 ISO 27001 標準的驗證,達成以下成效:
- 透過教育訓練與委員會的推動加深凝聚內部資安共識、共同參與及維持資訊管理制度的運作。
2024年度舉行3次資訊安全教育訓練,「一般人員資訊安全教育訓練」132小時、「一般人員資安訓練資安威脅防護」54小時及「資訊人的資安」45小時,上課人數共計77人,總時數231小時。 - 藉由良好的風險管理辦法,辨識資訊資產、降低營運風險。
- 於日常作業中落實風險管理,建立可行適用制度,使人員願意遵行,並樂於遵行。
- 建立一個安全可信賴,且接受國際驗證的資安管理制度,強化客戶的信心。
請參閱ESG報告書-01落實公司治理-1.5資訊安全