营运与治理
信息安全管理
鉴于信息安全乃维系各项服务安全运作之基础,为确保公司具备共识并落实信息安全的使命,环旭电子成立资讯安全管理委员会,由信息长、财务长、信息安全长及副总经理/ 处长级以上主管担任委员会成员,并由信息长向行政管理群资深副总进行汇报;委员会底下设有资安管理代表,协助信息安全管理委员会执行信息安全事务。在信息安全资质方面,公司在2020年取得ISO 27001认证,并且张江厂在2023年获取TISAX 认证,为USI 在信息安全治理成熟度方面提供可靠证明。
资安目标
本公司信息安全目标为确保核心系统管理业务之机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)与适法性(Compliance),并依各阶层与职能定义及量测信息安全绩效之量化指标,以确认信息安全管理系统实施状况及是否达成信息安全目标。
1. 保护公司重要信息资产,包括USI及客户产品、制程技术、研发信息与服务等,并维持其机密性、完整性及可用性。
2. 加强USI员工对于公司及客户信息资产保护责任的认知。
3. 确保各项业务服务之执行须符合当地相关法令或法规之要求。
4. 建构安全便利的信息网络环境,保障员工免受内外部资安威胁。
5. 建立信息安全可持续计划,确保企业持续运作。
6. 深度评估现有环境的安全程度并提高整体信息安全成熟度。
信息安全意识倡导
公司制定“信息安全政策”,并成立安全营运中心,以强化USI 的信息安全防御韧性;透过定期的信息安全公告,加强全员的信息安全风险识别能力;并且实施不同职能的邮件社交工程演练(钓鱼信件演练),以加强员工对网络威胁的信息安全防范意识。此外,资安部门不定期抽查是否有终端非法使用之情形,如有违反则依规定进行惩处。为更进一步加强内部人员信息安全意识,公司开设信息安全意识培训课程,员工需接受《信息安全通识课程》并通过课程测验,2023年信息安全培训率达100%。
公司持续稳定地提升信息安全防御韧性,助力为客户提供可靠的产品与服务。截至2023年底,环旭电子未有重大信息安全事件发生。
TISAX 信息安全策略
鉴于信息安全乃维系各项服务安全运作之基础,为确保环旭电子股份有限公司具备发展及持续竞争优势,并落实信息安全的使命,特订定TISAX信息安全管理手册,做为TISAX标准要求建立的信息安全管理体系依据之概述。
TISAX信息安全管理系统之实施应依据规划(Plan)、执行(Do)、查核(Check)及持续改善(Adjust)循环模式,以周而复始、循序渐进的精神,确保信息安全之有效性及持续性,依据范围落实TISAX信息安全管理系统。
完整信息安全策略详见下列管理措施:
