利害相關人專區

資訊安全

本公司於2020年04月導入資訊安全管理系統(ISMS),並分別在2020年10月16日及2021年4月7日 經TUV及BSI專業稽核團隊嚴謹把關下,通過ISO/IEC 27001:2013驗證,華經資訊將持續強化公司資訊安全措施,確保資訊機密、完整及可用性,以提升對企業及客戶之資訊安全防護。

※ISO 27001證書效期自2021/4/7至2024/4/6

資訊安全政策:

  1. 目的
    為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。

2. 適用範圍

資訊安全涵蓋14項管理事項,避免因人為疏失或天然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:

2.1 資訊安全政策。
2.2 資訊安全組織。
2.3 人力資源安全。
2.4 資產管理。
2.5 存取控制。
2.6 密碼學。
2.7 實體及環境安全。
2.8 運作安全。
2.9 通訊安全。
2.10 系統獲取、開發及維護。
2.11 供應者關係。
2.12 資訊安全事故管理。
2.13 營運持續管理之資訊安全層面。
2.14 遵循性。

3. 本公司資訊安全政策

資訊安全,人人有責,確保公司資訊機密、完整及可用性。

3.1 本公司考量資訊安全政策要求而制定資訊安全目標項目及目標值,用以評量政策落實性。

3.2 本公司依資訊安全政策及風險評鑑結果,建置必要之控制措施及提供所需資源。

3.3 本公司建置資訊安全管理系統以透過系統運作,進行持續改善作業。

4. 資訊安全組織

4.1資訊安全管理委員會由管理代表負責資安各標準制度之建置、實施與維持,以統籌公司之管理制度、資源調度等事項之協調及研議。

4.2建立「資訊安全組織成員表」,以確保任務明確之指派及ISMS有效之聯繫。

4.3資訊安全管理委員會組織圖

5. 適用性聲明書

依據「ISO 27001:2013資訊安全管理系統-要求事項」產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,ISMS資安小組應重新定義控制措施之適用性。

6. 審查

本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本公司營運持續及資訊安全實務作業能力。

7. 實施

7.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。

7.2 本政策經主任委員核定後實施,修訂時亦同。

*資訊安全最主要的3大要素,業界慣用”CIA”稱之,包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability)

華經資訊企業股份有限公司暨子公司2023年資通安全管理執行情形報告:

(一) 具體管理方案

  1. 採縱深防禦架構,藉由重要機敏資料加密、端點防護與網路閘道防護,搭配網路存取管制、電子郵件防護等機制,防範由外而內的網路攻擊,與由內而外的洩密行為。
  2. 建立門禁控管、登入系統的身份驗證、密碼控管、存取授權及進行弱點掃描等稽核機制,並安裝防毒軟體、更新原廠安全性修補程式及建立備援機制,以強化端點防護。
  3. 設置資安防護系統,防範電腦病毒或惡意程式影響資訊系統服務或窺探機密資料。
  4. 定期對員工進行資訊安全教育訓練,強化員工的資安風險意識。
  5. 定期檢視資安防護措施,關注資安議題,以確保其適當性及有效性。
  6. 建立多層次資訊系統與資料備份機制,確保資訊安全之可用性與完整性。

(二) 2023年投入資通安全管理之資源

公司每年均編列資通安全相關預算,進行資通軟硬體設備適時汰換、升級、更新;採購防毒軟體、弱點掃瞄、源碼檢測等資安檢測工具,強化企業資訊安全防護能力;籌組資訊安全管理與執行團隊,規劃、執行、稽核及改善資訊安全管理作業,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求、最高規格的機密資訊保護服務;委外延攬資安專業顧問及資安專業認證公司進行外部稽核、輔導與認證,建立嚴謹之資訊安全系統及運行機制。

  1. 2023年11月10日指派資訊部陳保福副總經理擔任資訊安全專責主管,並設置資訊安全專責人員。
  2. 為強化資訊安全管理技術,2023年派遣同仁20人次參與外部教育訓練,總時數達755小時。
  3. 為提升資訊安全防護能量,2023年採購資訊安全相關軟硬體設備,總金額達新台幣126萬元。
  4. ISO27001認證通過年度續審。

(三) 重大資通安全事件:

本年度無重大資通安全事件。公司建置之防毒軟體與網路防火牆設備防堵外部惡意攻擊與入侵,阻絕隔離及清除具有資安疑慮之入侵活動與檔案。建置之多層次資訊系統與資料備份與復原措施,維繫公司各項資訊系統正常運作。

※年度資通安全管理執行情形已於2023年12月28日董事會報告。