营运与治理
信息安全管理
鉴于信息安全乃维系各项服务安全运作之基础,为确保公司具备共识并落实信息安全的使命,环旭电子成立资讯安全管理委员会,由资讯长、财务长、资安长及副总经理/ 处长级以上主管担任委员会成员,并由资讯长向行政管理群资深副总进行汇报;委员会底下设有资安管理代表,协助资讯安全管理委员会执行信息安全事务。并且公司取得ISO 27001:2013 信息安全认证,进一步落实集团之信息安全管理。
资安目标
本公司信息安全目标为确保核心系统管理业务之机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)与适法性(Compliance),并依各阶层与职能定义及量测信息安全绩效之量化指标,以确认信息安全管理系统实施状况及是否达成信息安全目标。
1. 保护公司重要信息资产,包括USI及客户产品、制程技术、研发信息与服务等,并维持其机密性、完整性及可用性。
2. 加强USI员工对于公司及客户信息资产保护责任的认知。
3. 确保各项业务服务之执行须符合当地相关法令或法规之要求。
4. 建构安全便利的信息网络环境,保障员工免受内外部资安威胁。
5. 建立信息安全可持续计划,确保企业持续运作。
6. 深度评估现有环境的安全程度并提高整体信息安全成熟度。
信息网络安全倡导及训练课程
公司通过定期的公告,要求员工遵守相关网络信息安全规定及使用合法软件;不定期实施邮件社交工程演练( 钓鱼信件演练),以加强员工对网络钓鱼防范的资安意识。此外,资安部门不定期抽查是否有非法使用之情形,如有违反则依规定进行惩处。为更进一步加强内部人员资安思维,员工需接受“信息安全通识基础课程”并通过课程测验,2022 年信息安全培训率达100%。
此外,信息人员皆需接受相关专业训练,并且取得资安系统相关验证,以系统化方式确保信息安全,应付各种资安状况,确保资安组织设计之有效性,截至2022年底,环旭电子未有资安事件发生。
TISAX 信息安全策略
鉴于信息安全乃维系各项服务安全运作之基础,为确保环旭电子股份有限公司具备发展及持续竞争优势,并落实信息安全的使命,特订定TISAX信息安全管理手册,做为TISAX标准要求建立的信息安全管理体系依据之概述。
TISAX信息安全管理系统之实施应依据规划(Plan)、执行(Do)、查核(Check)及持续改善(Adjust)循环模式,以周而复始、循序渐进的精神,确保信息安全之有效性及持续性,依据范围落实TISAX信息安全管理系统。
完整信息安全策略详见下列管理措施: