企業永續發展
資訊安全聲明
凱衛資訊股份有限公司(以下簡稱本公司)為強化資訊安全管理,保護本公司資產安全(資產包括資訊、軟體、硬體、技術服務、人員等)免於外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制定資訊安全政策,以確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責任及安全要求,並做為遵循依據。
本公司資訊安全政策聲明
(1) 成立「資訊安全指導委員會」、「資訊安全推行小組」、「資訊安全稽核小組」確認本公司資訊安全管理運作之有效性。
(2) 建立資訊資產清單,執行風險評鑑作業,針對高於可接受水準之風險進行各項管控措施,以有效降低風險。
(3) 所有員工、約聘雇人員、委外廠商暨其協力廠商及訪客等,凡其使用本公司資訊以提供資訊服務或執行相關資訊業務等,皆有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
(4) 訂定本公司業務持續運作計劃,定期演練,並配合業務發展與組織現況持續調整更新。
(5) 建立安全、可靠的資訊系統環境,使本公司業務得以永續經營。
(6) 客戶及會員資訊視同本公司業務機密,處理或利用機密資訊之人員,須依據所賦予之權限,不得逾越。
(7) 本公司全體人員應遵守法律規範與資訊安全政策之要求,主管人員更應督導資訊安全落實情況,強化同仁資訊安全認知及遵法概念。
(8) 資訊安全是全體人員共同之責任,藉由不斷地檢討與改進,確保本公司資訊安全制度更臻完善。
(1) 成立「資訊安全指導委員會」、「資訊安全推行小組」、「資訊安全稽核小組」確認本公司資訊安全管理運作之有效性。
(2) 建立資訊資產清單,執行風險評鑑作業,針對高於可接受水準之風險進行各項管控措施,以有效降低風險。
(3) 所有員工、約聘雇人員、委外廠商暨其協力廠商及訪客等,凡其使用本公司資訊以提供資訊服務或執行相關資訊業務等,皆有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
(4) 訂定本公司業務持續運作計劃,定期演練,並配合業務發展與組織現況持續調整更新。
(5) 建立安全、可靠的資訊系統環境,使本公司業務得以永續經營。
(6) 客戶及會員資訊視同本公司業務機密,處理或利用機密資訊之人員,須依據所賦予之權限,不得逾越。
(7) 本公司全體人員應遵守法律規範與資訊安全政策之要求,主管人員更應督導資訊安全落實情況,強化同仁資訊安全認知及遵法概念。
(8) 資訊安全是全體人員共同之責任,藉由不斷地檢討與改進,確保本公司資訊安全制度更臻完善。
資訊安全目標
(1) 維護本公司資訊資產之機密性、完整性與可用性,並保障客戶資料隱私。藉由全體同仁共同努力來達成 下列目標:
- 保護本公司業務活動資訊,避免未經授權的存取、修改,以確保其正確完整。
- 建立專責之資訊安全組織,負責制訂、推動、實施、評估及改進資訊安全管理事項,以確保本公司具備可供業務持續運作之資訊環境。
- 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
- 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
- 實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
- 本公司之業務活動執行須符合相關法令或法規之要求。
(2) 資訊安全目標量測指標應依規劃之期間進行量測,以確認有效性,並於管理階層審查會議時審議裁定,每年至少進行檢討或修訂一次。
具體管理方案:
本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。本政策自發布日起施行,以書面、電子或其他方式通知員工、約聘雇人員、委外廠商暨其協力廠商等,各單位應確實遵行,如有違反本政策,經查屬實者,將衡酌情節,依相關規定議處。
實施情形:
(1) 設置資訊安全主管、專員各一名,每年召開二次資訊安全推行小組會議,檢討審核資安相關政策送最高管理階層核定,每年辦理資訊安全教育訓練、社交郵件及營運衝擊演練各一次,加入台灣電腦網路危機處理暨協調中心資安通報機制並分享資訊。
(2) 112年度資訊安全自我檢測已於112年6月6日完成自評檢測,並於7/27完成內部稽核復檢。
(3) 本公司於111年8月26日通過 ISO / IEC 27001:2013 Information Security Management Systems 認證,到期日:114年8月25日。