資訊安全管理 / ISO 27001:2013 資訊安全管理系統

本公司長春子公司建置符合國際標準之資訊安全管理系統(ISMS)，取得ISO 27001:2013 管理驗證證書，有效期限2022/4/29-2025/4/28。

資訊安全政策及管理

一、資訊安全組織

本公司資訊安全之權責單位為資安單位，該部設置資安專責主管乙名，專責的資安人員乙名，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實，並定期向總經理、董事會報告公司資安治理概況。

2024年資訊安全管理執行成效已於2024年12月24日向審計委員會及董事會提報，截至目前為止無發生重大資訊安全事件已經或可能對公司業務或營運產生重大不利影響。

二、資訊安全政策:

資訊安全之目標：

保護本公司相關資訊資產(包括軟硬體設施、數據和資訊)的安全，維護其機密性、完整性和可用性，使其免於因外在的威脅或者內部管理不善而遭受洩密、破壞或者遺失的風險。

三、資通安全政策及具體管理方案

(1).訂定資訊安全管理制度，提供人員使用資訊服務之行為指引

(2).導入資訊安全軟硬體解決方案，強化縱深防禦與實施橫向隔離

(3).資訊安全人員接受專業訓練，資訊系統使用人員接受資安宣導

2024年度執行情形

1.  2024年7月基於角色存取控制原則，實施ERP使用者權限複核。

2.  2024年9月資安人員資安專業訓練，系統滲透測試攻擊手法分析。

3.  依年度執行ERP系統災難復原演練，基於異地備份還原系統演練。

4.  不定期評估資訊軟硬體系統資安漏洞修補，以緩解或修補高風險以上等級資安漏洞為基線。

5.  持續關注TWCERT/CC資安新聞及軟硬體原廠資訊安全通報。

6.  ERP系統弱點掃描實施。

 2024年資通安全教育訓練課程