資訊安全政策

硬體需穩定、軟體要適用；使用有授權、存取要記錄；
備份確執行、備援要可行；入侵能防範、異常要通報。

 

為提供公司業務營運發展持續運作之資訊環境及符合政府與相關法令要求，建立ISMS資訊安全管理系統，含括各項管理事項，避免無預警的天災或人為疏失造成之系統中斷風險，對本公司帶來各種可能之風險及危害，並於2022年導入ISO 27001 資訊管理系統，並定期取得ISO27001 認證，目前證書之有效期為2025年2月23日至2026年3月15日。為了有效推動與辦理資訊安全各項工作，特成立「資安推動委員會」，以擬訂本公司資訊安全之目標、策略及管理程序，促進資訊安全管理制度執行之有效性，期使本公司資訊安全管理制度達成既定之目標；並於113年12月20日向董事會(113年第8次)報告檢討資訊安全風險管理政策、定期檢討資安政策等相關事宜。

 

資訊安全組織架構及工作職掌:

本公司設「資安推動委員會」(以下簡稱本會)，負責資訊安全政策推動事宜，人員組成及工作說明如下：委員由會長指派；會長由董事長擔任，並為會議主席，綜理本公司資訊安全政策之推動、協調及督導；會長不克主持會議時，由委員互推擔任之；本會每年應至少召開一次資訊安全管理審查會議(113年於11月27日召開)，審查資訊安全管理相關事宜；由會長指派一部門主管(本公司資訊安全官)擔任執行秘書，除非離職及調職者，原則上三年一任，於第三年時訓練接任人選；資訊安全執行小組設組長1 人，由資訊安全官指派人員，小組成員20人由各單位資訊聯絡人組成，負責規劃及執行各項資訊安全作業，每季召開資訊安全小組季會(113年於3月19日、7月24日、10月23日、12月25日召開)。

 

1.目的

確保矽格股份有限公司（以下簡稱本公司）所屬之資訊資產的機密性、完整性、可用性及適法性，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特訂定本政策作為資訊安全管理之準則。

2.適用範圍

2-1 本政策適用範圍為本公司管理之區域、人員及設施。

2-2 資訊安全管理之範疇含14個領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司造成各種可能之風險及危害
各領域分述如下：

2-2-1 資訊安全政策訂定與評估。

2-2-2 資訊安全組織。

2-2-3 人力資源安全管理。

2-2-4 資訊資產管理。

2-2-5 存取控制安全管理。

2-2-6 密碼學安全管理。

2-2-7 實體及環境安全管理。

2-2-8 運作安全管理。

2-2-9 通訊安全管理。

2-2-10 系統獲取、開發及維護安全管理。

2-2-11 供應者關係管理。

2-2-12 資訊安全事故管理。

2-2-13 營運持續管理之資訊安全層面。

2-2-14 法令及法規遵循性管理。

3.名詞解釋

3-1 機密性 (Confidentiality)：確保只有經授權的人才可以取得資訊，避免資訊洩漏。

3-2 完整性 (Integrity)：確保資訊不受未經授權的竄改與資訊處理方法的正確性。

3-3 可用性(Availability)：確保經授權的使用者，在需要時可以取得資訊，並使用相關資產。

4.權責

4-1 本公司成立資訊安全組織統籌資訊安全及個人資料保護事項推動。

4-2 管理階層應積極參與資訊安全管理制度活動，提供對資訊安全管理制度之支持。

4-3 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。

4-4 全體人員及委外服務廠商均有責任透過適當通報機制，通報資訊安全事件或資訊安全弱點。

4-5 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。

5.作業內容

5-1 資訊安全聲明

       矽格股份有限公司資訊系統之資訊安全控管措施，在於保護重要客戶及本公司人員資料之機密性、完整性及可用性。同時強化資訊安全管理，確保資

       料、系統、設備及網路安全，營造可靠的資訊環境、部署創新的資訊安全防護技術、落實推動資訊安全管理作業，為提升本公司的服務品質、提供優質

       服務而努力，以精益求精、不斷革新之精神，朝e化服務邁進。

5-2  資訊安全目標

       為維護本公司資訊資產之機密性、完整性與可用性，並保障客戶及個人資料隱私之安全。藉由本公司全體同仁共同努力來達成下列目標：

5-2-1 保護本公司業務服務之安全，確保資訊需經授權人員才可存取資訊，以保障客戶權益，維護客戶資料，確保其機密性。

5-2-2 保護本公司業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。

5-2-3 建立本公司資訊作業營運持續計畫，以確保本公司業務服務之持續運作。

5-2-4 本公司之業務服務執行須符合政府相關法令或法規之要求。

5-3  資訊安全管理指標

為達成資訊安全管理目標，本公司特訂定資訊安全管理指標如下：

5-3-1  定量化指標

確保本公司資訊服務可用性之要求如下：

• • 全年度零重大事件(資安事件4級)請參考【資訊安全事件通報管理程序】。
  • 機房維運服務(如不斷電系統，空調…等基礎建設)達全年上班時間99%以上。
    (計算公式：365天*24H=8760H，1%=87.6H，8672.4/8760=99%)
  • 關鍵業務系統服務達全年上班時間98%以上。

5-3-2  定性化指標

• • 資訊安全政策應定期審查，以確保資訊安全管理制度是否落實。
  • 應定期審查資訊安全組織人員執掌，以確保資訊安全工作之推展。
  • 應符合主管機關要求，依員工之職務及責任提供適當之資訊安全相關訓練。
  • 加強內部控制，防止未經授權之不當存取，以確保資訊資產受適當的保護。
  • 應採取適當之保護措施及權限控管機制，以保障資訊處理設施之環境安全。
  • 確保所有資訊安全事件或可疑之安全弱點，都應依循適當之通報機制向上反應，並予以適當調查及處理。

5-4  資訊安全政策之審查及實施

    　本政策應每年定期審查，遇組織、業務、法令或環境等因素之更迭，予以適當修訂，經總經理核定後公告施行，以確保資訊安全運作之有效性。