信息安全管理政策

 

 

信息安全管理组织与运作

新普科技设置信息安全委员会,负责信息安全相关规范之落实。每月召开信息 安全会议,检讨信息管理方案执行状况,掌握新兴资安议题。 信息部定期参与企业内部信息安全相关会议,确保落实信息安全管理政策;稽核室为信息安全监理之查核单位,每年就内部控制制度之电子计算器循环进行信息安全查核,以评估公司信息作业内部控制之有效性,并将结果定期向董事会报告。

 

通过 ISO 27001 验证

新普科技台湾总部于 2023 年导入信息安全管理系统 ( Information Security Management System, ISMS ),并取得第三方验证公司 ISO/IEC 27001 信息安全管理系统认证,验证的范围包含信息服务基础建设及信息管理作业流程,导入资安管理系统,不仅资安防护再升级,更能保障公司与客户之权益。2024 年已通过第三方 ISO 27001 续审稽核,持续遵循资安管理规范。
 

信息安全训练及倡导

本公司新进人员于入职时,会接受基本的信息安全教育训练,另外信息部对于在职的人员不定期的透过公司内部入口网站或邮件,进行信息安全的倡导。倡导主题包含信息安全政策、电子邮件使用安全规定、上网使用安全规范、远程安全作业办法、信息安全通识( 例如 : 资安威胁趋势、社交工程倡导、与 OA 资安管理 )等。
 

信息安全风险评估与因应对策

• 新普科技为因应资通安全风险已建立风险评估准则
• 将重要信息资产及核心系统依价值、弱点与威胁等风险之影响等级,进行风险控管
• 建立数据备份机制:订定备份与灾害复原管制办法等标准作业流程,每年不定期实施灾害复原测试, 确保信息系统正常的复原,降低无预警天灾或人为疏失造成系统中断风险
   ✓ 2024 年无重大资安事件导致营业损害之情事
• 技术部署相关资安功能:包含网络防火墙、邮件安全系统、病毒防护系统、操作系统更新、系统弱点扫描等,以控制及降低资安风险
• 用户计算机信息安全管理
  ✓ 订定员工的电子邮件管理、上网使用管理、计算机系统资源管理、计算机防毒管理、档案访问控制、远程访问管理等安全政策,确保公司信息数据之机密性、完整性与可用性
  ✓ 控管内容包含下列事项: