資訊安全管理
一、資訊安全管理系統(ISMS)
仲琦考量組織中所有利益相關團體的資訊安全要求與期望後,特成立資訊安全管理系統推行委員會,推動資訊安全管理事項與推展資訊安全意識,並導入 PDCA 管理循環,用以建置資訊安全管理系統(ISMS),並於過程中因應內部與外在環境的改變,不斷調整管理方向、評估及提出改善方案,以維護建構 ISMS的有效性,且每年定期向董事會報告執行情形。

委員會依據 ISO 27001:2013之資訊安全管理架構,建立公司之資訊安全文件,包含資訊安全運作之表單紀錄、作業辦法、程序和政策等,據以制定組織管理、保護資訊資產、和資源分派使用的規章及辦法,階層化管理文件並對應各個資訊安全面向。


風險管理則依循 ISO 27001:2013管理系統要求,引用 ISO 31000風險管理原則與指導之框架與流程,建立風險管理架構,持續監控主要的風險,以達成風險管理的目標並降低人員、財物、信譽等損失。

二、資訊安全治理成效
本公司於 2019年開始導入 ISO 27001資訊安全管理制度(ISMS)標準,並已於 2020年 6月通過 SGS集團驗證,取得 SGS集團核發之 ISO/IEC 27001:2013證書。藉由 ISO 27001 標準的驗證,達成以下成效:
- 透過教育訓練與委員會的推動加深凝聚內部資安共識、共同參與及維持資訊管理制度的運作。
2022年度舉行3次資訊安全教育訓練,「社交工程教育訓練」0.5小時、「從烏俄戰爭看資安」3小時及「有備無患防洩密」3小時,上課人數共計163人,總時數274小時。
- 藉由良好的風險管理辦法,辨識資訊資產、降低營運風險。
- 於日常作業中落實風險管理,建立可行適用制度,使人員願意遵行,並樂於遵行。
- 建立一個安全可信賴,且接受國際驗證的資安管理制度,強化客戶的信心。
請參閱ESG報告書-01落實公司治理-1.5資訊安全