♦ 资讯安全管理政策
本公司了解机密资讯保护攸关公司现在与未来的竞争优势,因此在2017年投入资讯安全保护相关措施来控管公司的营业秘密,并且透过不 断宣导机密资讯保护的重要,提升员工对机密资讯保护的正确观念与警觉性,以确保与京鼎精密科技相关利害关系者的最大利益。
本公司致力于保护客户的机密资料与隐私权,以建立与客户间的信任与长期合作的关系。提供客户专有的技术服务团队和资料保护,并要求员工都必须尽到保护保密之职责。
为强化资讯安全,本公司设置资安长,成立资讯安全管理处,现有资安人力7人,负责资讯安全管理稽核、防护监控与紧急应变。设立资讯安全管理委员会,由资安长担任委员会召集人,统筹资讯安全政策制定、策略规划、监督执行与持续改善,每季定期向董事会报告资安状况及改善进度。本公司已通过第三方验证取得ISO27001资讯安全管理系统国际认证,效期为2025年3月15日至2028年3月15日。
与品质保证部门负责推动管理相关事项之计画、执行、稽核与沟通协调,以确保人员熟悉业务执行所负之安全责任。公司制定相关规范与系统、门禁,分权限与效期,进行客户资料管制。因应客户机密专案,员工必须加签专案个人保密协议以达成保护客户资 料之职责。
1. 公司内部制定相关规范,要求员工均需遵守
2. 对于客户的机密资料与专案,专案专员另行签属 "保密协议"
3. 公司内部设置 "新智慧资讯管理系统" 并设立阅读权限
4. 完善的资讯安全保护措施,落实内部区域管制的保护管理措施
5. 完善的定期训练宣导,加强人员对客户隐私权的保护职责
♦ 资讯安全管理
(一).图面及档案资安政策
(1).导入文件加密外发系统,提供外发给供应商时进行加密、次数限制及期限
(2).所有供应商图档均使用加密图档
(二).邮件资安政策
(1).外发及内送邮件病毒扫描,邮件过滤侦测防制
(2).邮件自动备份,满足稽核与合规要求
(三).主机网路资安政策
(1).主机政策:
-- a.主机定期备份及档案异地备份
-- b.主机定期自动更新病毒码及自动扫描防制病毒
-- c.主机定期自动更新作业系统修补(Patch)
(2).Internet 政策:
-- a.所有外部资通讯设备禁止连接内部网路
-- b.防火墙设定黑名单,对可疑网站进行封锁限制
-- c.防火墙设定采最小权限与预设拒绝原则,定期审查与记录
(3).用户端政策:
-- a.电脑开机后自动更新修补程式至最新版
-- b.用户限制自行安装非经同意的软体
-- c.电脑限制存取USB装置
-- d.电脑安装端点防护软体,即时监控
♦ 网路安全风险管理
厂内所有文件及图面有导入加密软体进行加密,如需阅读得经文管中心审核其权限才可查看。 针对调阅高阶制程图面者会于独立网段之调阅室进行作业,调阅室中有24小时门禁管制及监视器记 录着进出同仁调阅之内容。于厂内全面布署防毒软体及WSUS,并定期更新监控 以确保使用最新版本,每日进行主机整机备份且档案为离线保存,每季进行主机备份档案还原演练 与资料验证。重要网路设备置放于机房,进入需双道认证并保存记录,定期对集团同仁宣导资安认 知及教育训练,并搭配集团每年内部定期稽核资讯安全政策及风险评估。
用户端上网行为有特定的过滤机制且严格管制USB外接装置,收发邮件需经邮件过滤系统管制,并设定邮件威胁安全机制,以防止恶意病毒攻击。于顾客隐私与资讯安全,采取必要的管理政策及保护措施,防止未经授权的使用、泄露。
◎ 执行成效:无客户投诉并已充份取得客户信任,集团操作运行顺利,为公司争取订单。