創造共享價值,達到社會、企業、顧客、員工的和諧發展
有鑑於近年層出不窮的資安攻擊事件,為確保客戶隱私與永續營運,雷科訂定明確的資安管 理政策,配合嚴謹的系統管理與資安措施,以強化資訊安全管理,確保公司資訊與資訊資產 的機密、完整及可用性,以供本公司之資訊業務持續運作循環,使其免於遭受內、外部的蓄意 或意外之威脅。未來,亦將規劃導入 ISO 27001 資訊安全管理系統,全面提升本公司之資安 管理強度,雷科於2023 年成立企業資通安全委員會,以落實資通安全政策及各層面管理,提 升資安防護及資安意識,符合公司永續經營目標。
雷科設立 「企業資通安全委員會」 ,下轄執行辦公室與政策稽核組、教育訓練組、資通安全技 術組,統籌資訊作業安全管理相關政策制定、執行、 風險管理與遵循度查核,由總經理督導 資訊安全及網絡安全策略。並由副總經理擔任資訊安全長,負責督導執行辦公室建立和維 護資訊安全及網絡安全策略與其流程以保護公司資財,並定期每兩季向董事會報告一次。
為使本公司業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏 、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity) 及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
| 範圍 |
|---|
| 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。 |
| 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。 |
| 防護未經授權的修改以保護資訊及資通系統之完整性。 |
| 確保經授權之使用者當需要時能使用資訊及資通系統。 |
| 符合法令與法規要求。 |
| 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。 |
| 落實資通安全教育訓練,以提高員工之資訊安全意識。 |
| 落實人員辦理業務涉及資通安全事項之獎懲機制。定期執行資訊安全稽核作業,確保資訊安全落實執行。 |
| 保確保人員資安意識更新與持續性。 |
| 確保出貨之設備安全無毒。 |
| Plan |
|
|---|---|
| Do |
|
| Check |
|
| Action |
|
資安系統與政策
演練
| 項目/年份 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 社交工程 | 6 (次) | 4 (次) | 4 (次) |
| 災害還原演練 | 1 (次) | 1 (次) | 1 (次) |
訓練
| 項目/年份 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 新進人員 | 完訓率100% | 完訓率100% | 完訓率100% |
| 全員訓練 | 4 (次) | 4 (次) | 2 (次) |
| 外部資安專業訓練 | 共 52 (H) |
宣導
| 項目/年份 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 宣導海報 | 6 (張) | 22 (張) | 22 (張) |
| 宣導公告 | 11 (張) | 6 (張) | 每日公告 |
資安事件
| 項目/年份 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 說明 | 2 (次) | 2 (次) |
2 (次)
|
事件改善
未來規劃&持續改善
當發生資通安全事件時,員工應依『資通安全事件通報及應變處理程序』立即同時通報單位 窗口、主管及執行辦公室,以利後續半段和處理,由執行辦公室依據公司標準分類並針對資 通安全事件進行損害影響評估與擬定改善方案,如資通安全事件為重大異常且疑似洩密事 件應通報管理處,若洩密屬實則由法務/人資單位依法或公司規定處理。在 2024 年公司並未 發現任何重大的資通安全事件,或可能對公司業務及營運產生不利影響,也未曾涉入任何與 此有關的法律案件或監管調查。