資訊安全管理政策

 

資訊安全管理組織與運作

新普科技設置資訊安全委員會,負責資訊安全相關規範之落實。每月召開資訊安全會議,檢討資訊管理方案執行狀況,掌握新興資安議題。資訊部定期參與企業內部資訊安全相關會議,確保落實資訊安全管理政策;稽核室為資訊安全監理之查核單位,每年就內部控制制度之電子計算機循環進行資訊安全查核,以評估公司資訊作業內部控制之有效性,並將結果定期向董事會報告。

通過 ISO 27001 認證

新普科技台灣總部於 2023 年導入資訊安全管理系統(Information Security Management System, ISMS),並取得第三方驗證公司 ISO/IEC 27001 資訊安全管理系統認證,驗證的範圍包含資訊服務基礎建設及資訊管理作業流程,導入資安管理系統,不僅資安防護再升級,更能保障公司與客戶之權益。2024 年已通過第三方 ISO27001 續審稽核,持續遵循資安管理規範。
 

資安訓練及宣導

本公司新進人員於入職時,會接受基本的資訊安全教育訓練,另外資訊部對於在職的人員不定期的透過公司內部入口網站或郵件,進行資訊安全的宣導。宣導主題包含資訊安全政策、電子郵件使用安全規定、上網使用安全規範、遠端安全作業辦法、資訊安全通識(例如:資安威脅趨勢、社交工程宣導、與 OA 資安管理)等。

資訊安全風險評估與因應對策

• 新普科技為因應資通安全風險已建立風險評估準則
• 將重要資訊資產及核心系統依價值、弱點與威脅等風險之影響等級,進行風險控管
• 建立資料備份機制:訂定備份與災害復原管制辦法等標準作業流程,每年不定期實施災害復原測試,確保資訊系統正常的復原,降低無預警天災或人為疏失造成系統中斷風險
   ✓ 2024 年無重大資安事件導致營業損害之情事
• 技術部署相關資安功能:包含網路防火牆、郵件安全系統、病毒防護系統、作業系統更新、系統弱點掃描等,以控制及降低資安風險
• 使用者電腦資訊安全管理
   ✓ 訂定員工的電子郵件管理、上網使用管理、電腦系統資源管理、電腦防毒管理、檔案存取控制、遠端存取管理等安全政策,確保公司資訊資料之機密性、完整性與可用性
   ✓ 控管內容包含下列事項: