♦ 資訊安全管理政策
本公司了解機密資訊保護攸關公司現在與未來的競爭優勢,因此在2017年投入資訊安全保護相關措施來控管公司的營業秘密,並且透過不 斷宣導機密資訊保護的重要,提昇員工對機密資訊保護的正確觀念與警覺性,以確保與京鼎精密科技相關利害關係者的最大利益。
本公司致力於保護客戶的機密資料與隱私權,以建立與客戶間的信任與長期合作的關係。提供客戶專有的技術服務團隊和資料保護,並要求員工都必須盡到保護保密之職責。公司為強化資訊安全,於2024年設置資安長,並成立資安管理部,下轄資安規劃課及防護應變課,現有資安人力7人,負責資訊安全政策制定、管理稽核、防護監控與緊急應變,每季定期向董事會報告資安狀況及改善進度。為落實推動資訊安全管理制度,2024年度召開風險評鑑會議及資訊安全管理審查會議各1次,關鍵業務營運持續計畫演練2次,員工資安宣導4場5,038人次。與品質保證部門負責推動管理相關事項之計畫、執行、稽核與溝通協調,以確保人員熟悉業務執行所負之安全責任。公司制定相關規範與系統、門禁,分權限與效期,進行客戶資料管制。因應客戶機密專案,員工必須加簽專案個人保密協議以達成保護客戶資 料之職責。
1. 公司內部制定相關規範,要求員工均需遵守
2. 對於客戶的機密資料與專案,專案專員另行簽屬 "保密協議"
3. 公司內部設置 "新智慧資訊管理系統" 並設立閱讀權限
4. 完善的資訊安全保護措施,落實內部區域管制的保護管理措施
5. 完善的定期訓練宣導,加強人員對客戶隱私權的保護職責
♦ 資訊安全管理
(一).圖面及檔案資安政策
(1).導入文件加密外發系統,提供外發給供應商時進行加密、次數限制及期限
(2).所有供應商圖檔均使用加密圖檔
(二).郵件資安政策
(1).外發及內送郵件病毒掃描、垃圾郵件偵測防制、惡意威脅郵件防制
(2).郵件收發自動備份,並保留10年
(三).主機網路資安政策
(1).主機政策:
-- a.主機定期備份及檔案異地備份
-- b.主機定期自動更新病毒碼及自動掃描防制病毒
-- c.主機定期自動更新作業系統修補(Patch)
(2).Internet 政策:
-- a.所有外部 3C 電腦設備,需經審核方能連接內部網路
-- b.代理伺服器設定黑名單,對可疑網站進行封鎖限制
-- c.防火牆僅開放特定網路埠號,提供特定的服務使用
(3).用戶端政策:
-- a.電腦開機後自動更新修補程式至最新版
-- b.用戶限制自行安裝非經同意的軟體
-- c.電腦可入讀USB碟內的檔案,無法寫出至USB碟
-- d.導入終端作業雲桌面,所有資料都在機房內
♦ 網路安全風險管理
廠內所有文件及圖面有導入加密軟體進行加密,如需閱讀得經文管中心審核其權限才可查看。 針對調閱高階製程圖面者會於獨立網段之調閱室進行作業,調閱室中有24小時門禁管制及監視器記 錄著進出同仁調閱之內容。於廠內全面佈署防毒軟體及WSUS,並定期更新監控 以確保使用最新版本,每日進行主機整機備份且檔案為離線保存,每季進行主機備份檔案還原演練 與資料驗證。重要網路設備置放於機房,進入需雙道認證並保存記錄,定期對集團同仁宣導資安認 知及教育訓練,並搭配集團每年內部定期稽核資訊安全政策及風險評估。
用戶端上網行為有特定的過濾機制且嚴格管制USB外接裝置,將其設定為可讀取資料,但無法 將資料寫入,收發郵件需經垃圾郵件監控系統管制,並設定郵件威脅安全機制,以防止惡意病毒攻擊。於顧客隱私與資訊安全,採取必要的管理政策及保護措施,防止未經授權的使用、洩露。
◎ 執行成效:無客戶投訴並已充份取得客戶信任,集團操作運行順利,為公司爭取訂單。