連展投資控股股份有限公司

資訊安全政策及目標

資訊安全政策及目標

強化人員認知：辦理資訊安全教育訓練，推廣員工資訊安全意識與強化相關責任之認知。
避免資料外洩：保護本公司業務活動資訊，避免未經授權的存取與修改，確保其正確完整。
落實日常維運：每年定期進行稽核作業，確保相關規定皆能落實執行。
確保服務可用：確保本公司關鍵核心業務維持一定水準的系統可用性。

針對上述資訊安全目標，擬定年度待辦事項、所需資源、負責人員、預計完成時間、評估方式與執行結果，相關監督與量測程序，應遵循本公司「監督與量測管理程序書」辦理。資訊安全執行小組應於管理審查會議中，針對資訊安全目標有效性量測結果，向資訊安全委員會召集人進行報告。

責任

本公司的管理階層應建立及審查此政策。

資訊安全執行小組透過標準和程序以實施此政策。

所有人員和委外服務供應商，均需依照相關安全管理程序，以維護本政策。

所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。

任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。

審查

資訊安全政策每年應配合管理審查會議進行審查，以反映政府法令、技術及業務等最新發展現況，以確保本公司永續運作及資訊安全實務作業能力。

實施

任何機關單位因業務需求，取得本公司機敏性資訊或個人資料時，應負起資料保密責任並妥善運用，並遵守國家相關法令及本公司相關資訊安全規定。

若因機關單位疏失造成資料外洩或資安事件，應負相關法律責任。

資訊安全委員會架構

資訊安全委員會：

為任務編組方式組成，資訊安全長擔任召集人由本公司資訊部部門主管擔任，如因職務調動應即刻指派遞補人員與辦理交接。

每年定期或視需要召開會議，審查資訊安全管理相關事宜。

視需要召開跨部門之協調會議，負責協調資訊安全管理制度執行所需之相關資源分配

資訊安全執行小組：

資訊安全委員會指派人員組成，負責規劃及執行各項資訊安全作業。

緊急處理小組：

由公司各關鍵業務流程負責人組成。

資訊安全稽核小組：

由資訊安全委員會指派，負責評估資訊安全管理制度之執行情形。

資訊安全控制措施

資訊安全的威脅與攻擊不斷的推陳出新，連展投資控股股份有限公司雖然已建立全面的網路與電腦相關資安防護措施，仍無法保證資訊安全相關的控管措施能完全避免來自任何第三方癱瘓系統的網路攻擊。為確保營運持續運作，並降低關鍵性業務流程受重大故障或災害之影響，訂定「營運持續運作管理程序書」。

(一)營運持續運作管理連展投資控股股份有限公司實施營運持續運作管理作業，結合預防和復原控制措施，將業務災害或故障（如自然災害、意外、設備故障和蓄意行為等）造成的中斷情形降低到可接受的範圍。連展投資控股股份有限公司分析業務災害或故障對公司之衝擊，並發展和實施「營運持續運作計畫」，確保能在所需時間內恢復業務運作。營運持續運作程序須每年測試演練，以確保計畫之有效性，並使相關人員確實瞭解計畫之最新狀態。測試計畫得以定期測試個別計畫之方式進行。「營運持續運作計畫」應視業務、本公司及人員的調整需求而定期更新，以確保計畫之有效性。

(二)災害現場蒐證與清理災害現場搶救完成後，緊急處理小組需指派相關人員進行災害現場鑑識與蒐證工作，以做為日後訴訟索賠之依據。鑑識蒐證工作如有需要，應配合相關單位（如消防單位、警察單位等）進行。鑑識蒐證完成後，始可進行現場清理。

(三)事件處理檢討事件處理完成後，緊急處理小組須召開檢討會議。檢討事件通報、應變處理與復原作業各階段運作是否達成本程序預定目標，並依據「矯正及持續改善管理程序書」辦理。檢討結果呈報資訊安全委員會，並做為修訂「營運持續運作管理程序書」的重要依據。

114年資訊安全措施執行情況:

資訊安全政策及目標在內部向所有員工提供及宣導，並揭露於公司官網對外宣導。

本公司 114年未有重大資安事件之發生。

114年3月份辦理全體同仁之資訊安全宣導教育訓練。

加入TWCERT台灣電腦網路危機處理暨協調中心

114年7月5日取得ISO/IEC 27001:2022證書，此證書的有效期自2025年07月05日至2028年07月05日且其有效性應繫於持續符合的定期稽核。