資訊安全
本公司於2020年04月導入資訊安全管理系統(ISMS),並分別在2020年10月16日及2021年4月7日 經TUV及BSI專業稽核團隊嚴謹把關下,通過ISO/IEC 27001:2013驗證,華經資訊將持續強化公司資訊安全措施,確保資訊機密、完整及可用性,以提升對企業及客戶之資訊安全防護。
※ISO 27001證書效期自2024/4/3至2025/10/31
資訊安全政策:
- 目的
為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之業務持續運作環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。
3. 本公司資訊安全政策
資訊安全,人人有責,確保公司資訊機密、完整及可用性。
3.1 本公司考量資訊安全政策要求而制定資訊安全目標項目及目標值,用以評量政策落實性。
3.2 本公司依資訊安全政策及風險評鑑結果,建置必要之控制措施及提供所需資源。
3.3 本公司建置資訊安全管理系統以透過系統運作,進行持續改善作業。
4. 資訊安全組織
4.1資訊安全管理委員會由管理代表負責資安各標準制度之建置、實施與維持,以統籌公司之管理制度、資源調度等事項之協調及研議。
4.2建立「資訊安全組織成員表」,以確保任務明確之指派及ISMS有效之聯繫。
4.3資訊安全管理委員會組織圖
5. 適用性聲明書
依據「ISO 27001:2013資訊安全管理系統-要求事項」產出「適用性聲明書」,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,ISMS資安小組應重新定義控制措施之適用性。
6. 審查
本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保本公司營運持續及資訊安全實務作業能力。
7. 實施
7.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。
7.2 本政策經主任委員核定後實施,修訂時亦同。
*資訊安全最主要的3大要素,業界慣用”CIA”稱之,包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability)。
華經資訊企業股份有限公司暨子公司2024年資通安全管理執行情形報告:
(一) 具體管理方案
- 採縱深防禦架構,藉由重要機敏資料加密、端點防護與網路閘道防護,搭配網路存取管制、電子郵件防護等機制,防範由外而內的網路攻擊,與由內而外的洩密行為。
- 建立門禁控管、登入系統的身份驗證、密碼控管、存取授權及進行弱點掃描等稽核機制,並安裝防毒軟體、更新原廠安全性修補程式及建立備援機制,以強化端點防護。
- 設置資安防護系統,防範電腦病毒或惡意程式影響資訊系統服務或窺探機密資料。
- 定期對員工進行資訊安全教育訓練,強化員工的資安風險意識。
- 定期檢視資安防護措施,關注資安議題,以確保其適當性及有效性。
- 建立多層次資訊系統與資料備份機制,確保資訊安全之可用性與完整性。
(二) 2024年投入資通安全管理之資源
公司每年均編列資通安全相關預算,進行資通軟硬體設備適時汰換、升級、更新;採購防毒軟體、弱點掃瞄、源碼檢測等資安檢測工具,強化企業資訊安全防護能力;籌組資訊安全管理與執行團隊,規劃、執行、稽核及改善資訊安全管理作業,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求、最高規格的機密資訊保護服務;委外延攬資安專業顧問及資安專業認證公司進行外部稽核、輔導與認證,建立嚴謹之資訊安全系統及運行機制。
- 為強化資訊安全管理技術,2024年派遣同仁19人次參與外部教育訓練,總時數達556小時。
- 為提升資訊安全防護能量,2024年採購資訊安全相關軟硬體設備,總金額達新台幣174萬元。
- 目前資安認證為ISO27001:2013版,投入顧問與各部門人力,進行版本升級,預計於2025年1月進行 ISO 27001:2022 換版驗證。
(三) 重大資通安全事件:
本年度0730資通安全事件,公司建置之防毒軟體發揮功效,防堵外部惡意攻擊與入侵,阻絕隔離及清除具有資安疑慮之入侵活動與檔案,對公司影響降到最低。後續建置多層次網路架構,強化資安韌性與持續改善資安管理。
※年度資通安全管理執行情形已於2024年12月26日董事會報告。