目的
耕興股份有限公司(以下簡稱本公司)為強化資訊安全管理,提昇資訊安全管理流程之持續性與安全性,以持續改善P.D.C.A.循環管理方式,建立資訊的機密性,完整性及可用性,避免因資訊安全風險問題造成公司及客戶營運上不必要的損失,確保企業持續營運的目的。
資訊安全政策
本公司資訊安全政策,包含以下幾個面向:
1、 政策辦法:
訂定公司資訊安全策略規範,規範人員及設備作業行為,以確保系統、設備及網路安全。
2、 軟硬體建置:
逐步建置強化資訊安全設備,以落實資訊安全管理,營造可靠性資訊環境。
3、 人員宣導:
如遇有重大資安事件或案例,進行宣導及案例分享,進而提昇全體同仁資訊安全的意識,養成資訊安全基本觀
念。
4、 政策檢討:
推動資訊安全持續改善,確保企業永續經營。
資訊安全風險管理架構
1、 本公司資訊安全之權責單位為資訊部,設置資訊主管一名及資訊人員數名,負責訂定資訊安全政策、規劃,資訊
安全的政策推動與落實。
2、 本公司稽核室為資訊安全監理之查核單位,並依排定行程進行查核作業,若有發現缺失及風險,即請受查單位進
行檢討,並提出具體改善規劃,以降低資訊安全風險與落實政策。
3、 本公司以P.D.C.A循環方式管理,持續改善、維護重要資訊系統。

具體管理方案
管理方案
|
說明
|
管理辦法
|
制定本公司「資訊安全政策規範」與相關作業細則,人員依此規範進行作業,以減少資訊安全風險。
|
系統更新
|
伺服器及人員電腦,定期進行Path Update,以降低系統漏洞造成危害風險。
|
郵件安全
|
郵件系統架設SPAM及防毒過濾機制,以降低有害及詐騙郵件進入。
|
網路安全
|
架設防火牆,上網需經由防火牆以提昇內外部使用網路安全。
|
端點安全
|
電腦安裝防毒軟體,並定期更新病毒碼。
|
系統備份
|
針對重要系統排程自動備份,並定期檢查。
|
災難復原測試
|
定期安排系統備份還原測試。
|
安全宣導
|
定期以郵件等方式,公告及分享資訊安全相關政策及案例分享,以提昇同仁資訊安全意識。
|
資訊安全管理執行情形
1、本公司訂有資訊安全政策、資訊安全風險管理架構、資訊安全具體管理方案,公告於本公司網站公司治理專區。並制定「資訊安全政策規範」,放置於公司公用資料夾中,供同仁隨時參閱,同仁依規範進行作業,可降低資訊安全風險。
2、為提醒同仁注意資訊安全,每日開機時,電腦畫面均會出現提醒員工注意資訊安全之警語,並提供查閱公司「資訊安全政策規範」之路徑。
3、於同仁每半年簽訂之「保密協議書」中再次標示「資訊安全政策規範」放置之公用資料夾位置,供同仁自行不定期查閱,透過每半年的定期書面提醒,請同仁注意並遵守資訊安全政策規範。
4、依金融監督管理委員會規定,設置資訊安全專責主管及資訊安全專責人員各一名。
5、定期進行資訊安全宣導,截至2024年12月止:
(1)、每月:以電子郵件宣導公司資安政策、提醒全體同仁養成資訊安全意 識及分享偽冒郵件案例,計22次;
(2)、每季:於公司產銷主管會議中定期宣導資訊安全注意事項,計4次,提醒主管隨時注意,並於部門會議中加強宣導。
6、為加強同仁資安意識,截至2024年11月止,已進行社交工程演練(釣魚信件),共寄送398人次,後續將針對點擊此類釣魚網站之同仁加強資安教育訓練。
7、2024年8月份針對總公司機房進行資通安全威脅偵測,偵測期間系統計通報52件,均為第二級事件提醒,且已過濾處理,無破壞性事件。
8、為提升公司資安防護能量,2024年11月已加入資安聯防組織「臺灣電腦網路危機處理暨協調中心 (TWCERT/CC) 」,以期共享資安情資,提升整體資安聯防能量,維護網路安全。
9、於2024年11月6日向董事會報告本年度公司資訊安全管理執行情形。
|