Copyright © 2024 ACON-HOLDING INC. All Rights Reserved
返回列表
返回列表
返回列表
返回列表

關於連展投控

ACON Holding Inc.

公司簡介 組織架構 公司沿革 全球據點 資安政策

資訊安全政策及目標

資訊安全政策及目標

辦理資訊安全教育訓練,推廣員工資訊安全意識與強化相關責任之認知。

強化人員認知

保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。

避免資料外洩

每年定期進行稽核作業,確保相關規定皆能落實執行。

落實日常維運

確保本公司關鍵核心業務維持一定水準的系統可用性。

確保服務可用

針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間、評估方式與執行結果,相關監督與量測程序,應遵循本公司「監督與量測管理程序書」辦理。資訊安全執行小組應於管理審查會議中,針對資訊安全目標有效性量測結果,向資訊安全委員會召集人進行報告。

責任

本公司的管理階層應建立及審查此政策。
資訊安全執行小組透過標準和程序以實施此政策。
所有人員和委外服務供應商,均需依照相關安全管理程序,以維護本政策。
所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。

審查

資訊安全政策每年應配合管理審查會議進行審查,以反映政府法令、技術及業務等最新發展現況,以確保本公司永續運作及資訊安全實務作業能力。

實施

任何機關單位因業務需求,取得本公司機敏性資訊或個人資料時,應負起資料保密責任並妥善運用,並遵守國家相關法令及本公司相關資訊安全規定。 若因機關單位疏失造成資料外洩或資安事件,應負相關法律責任。

資訊安全委員會架構

資訊安全委員會:

為任務編組方式組成,資訊安全專責主管擔任召集人由本公司資訊部部門主管擔任,如因職務調動應即刻指派遞補人員與辦理交接。

資訊安全執行小組:

資訊安全委員會指派人員組成,負責規劃及執行各項資訊安全作業。

緊急處理小組:

由公司各關鍵業務流程負責人組成。

資訊安全稽核小組:

由資訊安全委員會指派,負責評估資訊安全管理制度之執行情形。


資通安全風險與因應措施

資訊安全的威脅與攻擊不斷的推陳出新,連展投資控股股份有限公司雖然已建立全面的網路與電腦相關資安防護措施,仍無法保證資訊安全相關的控管措施能完全避免來自任何第三方癱瘓系統的網路攻擊。為確保營運持續運作,並降低關鍵性業務流程受重大故障或災害之影響,訂定「營運持續運作管理程序書」。


(一)營運持續運作管理 連展投資控股股份有限公司實施營運持續運作管理作業,結合預防和復原控制措施,將業務災害或故障(如自然災害、意外、設備故障和蓄意行為等)造成的中斷情形降低到可接受的範圍。 連展投資控股股份有限公司分析業務災害或故障對公司之衝擊,並發展和實施「營運持續運作計畫」,確保能在所需時間內恢復業務運作。營運持續運作程序須每年測試演練,以確保計畫之有效性,並使相關人員確實瞭解計畫之最新狀態。測試計畫得以定期測試個別計畫之方式進行。 「營運持續運作計畫」應視業務、本公司及人員的調整需求而定期更新,以確保計畫之有效性。


(二)災害現場蒐證與清理 災害現場搶救完成後,緊急處理小組需指派相關人員進行災害現場鑑識與蒐證工作,以做為日後訴訟索賠之依據。鑑識蒐證工作如有需要,應配合相關單位(如消防單位、警察單位等)進行。鑑識蒐證完成後,始可進行現場清理。


(三)事件處理檢討 事件處理完成後,緊急處理小組須召開檢討會議。檢討事件通報、應變處理與復原作業各階段運作是否達成本程序預定目標,並依據「矯正及持續改善管理程序書」辦理。檢討結果呈報資訊安全委員會,並做為修訂「營運持續運作管理程序書」的重要依據。

投入資通安全管理之資源

資訊安全為公司治理與營運的重要議題,本公司於資訊安全管理事項及投入之資源方案如下: 


1. 專責人力:

•設立資訊安全委員會,負責公司資訊安全管理與規劃、資訊安全系統導入與相關的稽核事項,以維護及強化資訊安全。

•資訊安全專責主管1名,資訊安全執行小組成員3名,資訊安全稽核小組成員3名,緊急處理小組成員3名。 

2. 投保資安險金額:

         •無

3. 資訊安全管理制度內部稽核:

         •2025年2月13日執行資訊安全管理制度內部稽核(每年執行1次),無重大缺失。

4. 資訊安全管理審查會議:

        •2025年4月11日執行資訊安全管理審查會議(每年執行1次),無重大異常,要求持續落實資訊安全措施。

5. 認證:

        •2025年7月5日取得ISO/IEC 27001:2022證書,此證書的有效期自2025年7月5日至2028年7月5日且其有效性應繫於持續符合的定期稽核。

6. 客戶滿意:

•無重大資安事件,無違反客戶相關資料遺失之投訴案件。

•要求與公司合作的資訊系統廠商簽訂保密切結書。

7. 教育訓練:

       •每年完成集團員工資訊安全教育訓練,提昇員工資安意識。
8. 資訊系統:

•安裝防毒軟體,定期執行電腦掃瞄與Windows系統的漏洞更新。

•導入應用層防火牆,管控內部和外部網路的流量,強化網路安全。

•導入電信公司的網路線路入侵防護服務,提高資安防護。

•導入檔案加解密系統,保護研發圖檔,避免公司的智慧財產遭受損害。

9. 重大資通安全事件:

        •2025年至今無重大資通安全事件。

114年資訊安全措施執行情況

  • 2025年2月13日執行資訊安全管理制度內部稽核(每年執行1次),無重大缺失。
  • 2025年4月11日執行資訊安全管理審查會議(每年執行1次),無重大異常,要求持續落實資訊安全措施。
  • 2025年4月已完成資訊安全教育訓練(時數3小時,人數29人),提昇員工資安意識。
  • 2025年7月5日取得ISO/IEC 27001:2022證書,此證書的有效期自2025年7月5日至2028年7月5日且其有效性應繫於持續符合的定期稽核。
  • TWCERT不定期提供資安威脅情資予資安專責單位,由資安專責單位檢視資訊安全漏洞與執行因應措施。
  • 依實際異動需求更新資訊資產清冊,提高資訊資產風險控管能力。
  • 重要資料均定期備份,且每年至少執行1次營運持續運作計畫演練,確保備份資料的可用性。
  • 要求與公司往來處理資訊相關事宜的廠商簽訂保密切結書。
  • 2025年至今無重大資通安全事件。
ISO/IEC 27001:2022