-->
+
首页: 公司治理

风险管理

钧兴机电国际股份有限公司

信息安全宣言

钧兴机电为提供客户优质的产品与保障公司股东、员工、合作伙伴的利益和权益,我们持续深化信息安全与机密信息保护机制。  

信息安全风险及因应措施

本公司重视信息安全管理,设置信息部门负责防范计算机病毒、网络攻击、数据外泄、法律合规及风险控制,负责规划并执行信息安全管理工作,包括:公司网络及邮件安全管控、信息系统权控管、倡导信息安全提高员工资安意识、改进信息相关之技术及作业流程,以确保公司之信息安全及保障。本公司由高阶主管主持与信息等相关部门每年定期检讨、更新资安管理风险评估及管理并执行安全性检测及资安事件演练外,并由稽核室每年进行内部控制信息作业循环之稽查,确认本公司信息作业内部控制制度及执行之有效性。2021年本公司未发生影响公司营运之重大资安风险情事。


本公司信息安全政策如下:

(一)资通安全检查之控制

防范企业信息系统不受外来信息病毒或黑客入侵,影响企业正常运作或损及公司权益。


(二)系统复原计划及测试程序之控制

确保企业信息系统遭受不可抗力之灾害或其他人员破坏时,能在最短时间内复原至正常企业营运。


(三)档案及设备之安全控制

防范档案数据遭计算机病毒侵入,维护数据文件及各项计算机设备之安全。


(四)程序及数据访问控制

建立本公司用户对系统程序及数据存取之权限及范围,防止系统公用程序、工具及指令被不当存取。


本公司信息安全具体管理方案如下:

(一)资通安全检查之控制

A. 公司邮件服务器装设防火墙及防病毒软件以隔绝外来侵害。

B. 定期检核防火墙之日志文件,异常状况呈报权责主管处理。

C. 信息部门定期检视服务器上邮件收发情形,异常状况呈报权责主管处理。

D. 信息部门利用设备管控上网行为及查看网路狀态,防止未经授权之存取。

E. 定期检视及评估网际网路可能之安全性弱点,以采取防护措施。

F. 计算机网络及信息安全政策倡导定期向员工公告。

G. 遵守软件授权规定,禁止使用未取得授权的软件。

H. 敏感性、机密性数据的处理过程设定双向认证访问。


(二)系统复原计划及测试程序之控制

A. 每年制定系统复原办法并定期修订。

B. 系统每天做增量备份,每周完整备份,以及实施异地备份,并指定专人保管。

C. 计算机系统及其设计,需求需经权责主管核准,加入适当之预防措施,减低不当破坏之机率。


(三)档案及设备之安全控制

A. 于日常作业依档案及设备之安全控制之规定进行文件备份(每天做增量备份,每周完整备份,以及实施异地备份)。

B. 各项计算机设备及接口设备、消防设备、支持设备定期检查、维修及保养。

C. 系统发生异常状况时,应加以了解原因、改进及记录。

D. 机房人员进出确实管制,并登记非IT人员进入机房记录及事项

E. 定期更新侦测病毒软件之版本,并定期扫描计算机硬盘。

F. 对重要信息及计算机硬设备列管造册。

G.各部门人员离职时,严格按人事交接程序交接至信息部门,并对相关账号进行停用处理


(四)程序及数据访问控制

A. 程序档案的存取使用应依账号权限加以管制。

B. 重要之系统公用程序、工具及指令应依其用户权力限制存取查询。

C. 一般应用系统之用户除执行应用系统外,无存取系统公用程序、工具及

指令之权限。

D. 程序档案的存取使用均留下可追踪的记录。

E.权责主管定期复核相关记录。

F. 密码不可显示于计算机屏幕上,亦不可未经乱码化即打印于任何报表。

此外,新进员工需先进行电子邮件及信息系统相关基本培训后始核发账号,以确保信息安全观念融入日常作业中。