♦ 資訊安全管理政策
本公司了解機密資訊保護攸關公司現在與未來的競爭優勢,因此在2017年投入資訊安全保護相關措施來控管公司的營業秘密,並且透過不 斷宣導機密資訊保護的重要,提昇員工對機密資訊保護的正確觀念與警覺性,以確保與京鼎精密科技相關利害關係者的最大利益。
本公司致力於保護客戶的機密資料與隱私權,以建立與客戶間的信任與長期合作的關係。提供客戶專有的技術服務團隊和資料保護,並要求員工都必須盡到保護保密之職責。
為強化資訊安全,本公司設置資安長,成立資訊安全管理處,現有資安人力7人,負責資訊安全管理稽核、防護監控與緊急應變。設立資訊安全管理委員會,由資安長擔任委員會召集人,統籌資訊安全政策制定、策略規劃、監督執行與持續改善,每季定期向董事會報告資安狀況及改善進度。本公司已通過第三方驗證取得ISO27001資訊安全管理系統國際認證,效期為2025年3月15日至2028年3月15日。
與品質保證部門負責推動管理相關事項之計畫、執行、稽核與溝通協調,以確保人員熟悉業務執行所負之安全責任。公司制定相關規範與系統、門禁,分權限與效期,進行客戶資料管制。因應客戶機密專案,員工必須加簽專案個人保密協議以達成保護客戶資 料之職責。
1. 公司內部制定相關規範,要求員工均需遵守
2. 對於客戶的機密資料與專案,專案專員另行簽屬 "保密協議"
3. 公司內部設置 "新智慧資訊管理系統" 並設立閱讀權限
4. 完善的資訊安全保護措施,落實內部區域管制的保護管理措施
5. 完善的定期訓練宣導,加強人員對客戶隱私權的保護職責
♦ 資訊安全管理
(一).圖面及檔案資安政策
(1).導入文件加密外發系統,提供外發給供應商時進行加密、次數限制及期限
(2).所有供應商圖檔均使用加密圖檔
(二).郵件資安政策
(1).外發及內送郵件病毒掃描,郵件過濾偵測防制
(2).郵件自動備份,滿足稽核與合規要求
(三).主機網路資安政策
(1).主機政策:
-- a.主機定期備份及檔案異地備份
-- b.主機定期自動更新病毒碼及自動掃描防制病毒
-- c.主機定期自動更新作業系統修補(Patch)
(2).Internet 政策:
-- a.所有外部資通訊設備禁止連接內部網路
-- b.防火牆設定黑名單,對可疑網站進行封鎖限制
-- c.防火牆設定採最小權限與預設拒絕原則,定期審查與記錄
(3).用戶端政策:
-- a.電腦開機後自動更新修補程式至最新版
-- b.用戶限制自行安裝非經同意的軟體
-- c.電腦限制存取USB裝置
-- d.電腦安裝端點防護軟體,即時監控
♦ 網路安全風險管理
廠內所有文件及圖面有導入加密軟體進行加密,如需閱讀得經文管中心審核其權限才可查看。 針對調閱高階製程圖面者會於獨立網段之調閱室進行作業,調閱室中有24小時門禁管制及監視器記 錄著進出同仁調閱之內容。於廠內全面佈署防毒軟體及WSUS,並定期更新監控 以確保使用最新版本,每日進行主機整機備份且檔案為離線保存,每季進行主機備份檔案還原演練 與資料驗證。重要網路設備置放於機房,進入需雙道認證並保存記錄,定期對集團同仁宣導資安認 知及教育訓練,並搭配集團每年內部定期稽核資訊安全政策及風險評估。
用戶端上網行為有特定的過濾機制且嚴格管制USB外接裝置,收發郵件需經郵件過濾系統管制,並設定郵件威脅安全機制,以防止惡意病毒攻擊。於顧客隱私與資訊安全,採取必要的管理政策及保護措施,防止未經授權的使用、洩露。
◎ 執行成效:無客戶投訴並已充份取得客戶信任,集團操作運行順利,為公司爭取訂單。