註:2025年執行績效數據將於資料彙整完成後更新。
資訊安全
個資保護
資訊安全
資訊安全政策
鈺創科技建立「資訊安全,人人有責」之觀念,確保公司資訊之機密性、完整性及可用性,已依公司營運要求及相關法令規範,制定資安政策作為資訊安全管理之遵循方針,並藉由內部資安組織之運作以確實執行管理措施,另應建立員工資安風險意識,並藉由管理程序及安全防護技術,以達到資訊蒐集、處理、傳送、儲存及流通之安全目標。
資訊安全組織、成員及監督
- 資安委員會:
鈺創科技已設立資訊安全委員會,負責訂定、審核資訊安全方針、資源分配及檢視各項措施執行情況,另高階管理階層主管擔任管理代表,負責資訊安全管理事項之協調及推動,除定期召開資安會議並就執行情形每年一次向董事會提出報告。 - 執行秘書與成員:
由專責資安主管擔任執行秘書襄助有關資安工作進行,並由行政、研發、法務、資訊及廠務等部門主管擔任委員以參與資訊安全各項計畫、措施之擬訂與執行。
人力資源安全與資訊安全教育訓練
- 鈺創科技已將資訊安全納入人員聘用變更或終止聘用流程,對所屬員工進行管理,以確保其在職位上能執行各項相關資訊安全措施,降低可能的資訊安全風險。
- 鈺創科技定期按員工所從事業務工作性質及當前資安環境所需,安排資安意識、社交工程攻擊與防範教育訓練,以建立員工資訊安全認知,提升公司資訊安全水準。
- 為加強資訊安全管理人力之培訓及提升本公司資訊安全管理能力,本公司安排對專責人員進行資訊安全管理專業訓練課程及外部資訊安全職能訓練課程,辦理資訊人員資安內部訓練課程。
- 不定期對員工發出資安防駭訊息公告及郵件資安通告,提醒全公司同仁提高警覺,並提供同仁資安事件資訊及防範因應措施。
資訊資產鑑別、風險評估及資源投入
- 為識別公司資產及確保所有資產依其重要性受到保護,本公司每年定期進行資訊資產清點與分類,檢視資訊資產之機密性、可用性及完整性,評估其可能存在的弱點與可能面臨的威脅擬訂風險處理計畫持續追蹤至完成改善為止。
- 為因應外部資安威脅危害,本公司持續在既有防護機制外加強相關縱深防禦措施,以防毒、防駭、防漏三大資安防護主軸為目標,建置防火牆、入侵偵測防禦、防毒系統、雙重部署端點偵測與回應軟體(EDR)及啟動多因子認證(MFA)等各項資安防護方案,以提升公司在防禦外部攻擊以及確保內部機密資訊防護的能力。
資訊安全事件通報與應變
- 鈺創科技已參加國內資安聯防組識以取得及分享各項資安情資俾及時採取因應措施。
- 針對可能影響營運衝擊之事件,進行模擬演練;對於本公司資訊安全事件,各部門應在事件發生時按權責及事件分級機制進行通報、依已擬訂之應變計畫妥善採取措施,並將處理過程及結果妥予記錄並向資安委員會報告。
政策調整與修訂
本政策定期由資訊安全委員會依相關法令、技術及業務等最新發展現況進行修訂,以確保合宜、適切及有效性。
執行情形
鈺創科技導入建立完整的 ISO 27001 資訊安全管理系統,在 2024 年 6 月通過第三方驗證取得核發證書,證書之有效期限為 2027 年 6 月,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「計劃-實施-查核-行動」(PDCA)循環以持續改善。
ISO 27001:2022 證書
個資保護
個人資料保護政策與管理原則
鈺創科技高度重視個人資料保護,恪遵 《個人資料保護法》 及 《個人資料保護法施行細則》,並訂定 《鈺創個人資料管理準則》,嚴謹管理個資隱私安全。我們尊重當事人之權益,堅持「以不逾越特定目的之必要範圍」為原則進行蒐集、處理與利用。
蒐集單位與資安防護措施
- 權責單位明確化:
定義個資蒐整單位包含:(1)人資與勞工安全衛生部門、(2)股務與財務部門、(3)資訊處、(4)其他因業務屬性有取得必要者。各單位須確認資料之完整性與正確性,並依更正、補充、屆滿刪除之原則詳實造冊紀錄。 - 嚴謹的資安控管:
個人資料檔案若以自動化機器(如伺服器、電腦、硬碟)儲存,均建立加密及權限管理制度。針對重要個資(經一級主管裁定者)另加設管控密碼,非經核可並取得權限者不得擅自存取。 - 適用範圍與保密承諾:
本準則適用於 鈺創全體員工與客戶。除法令規範範圍內使用外,絕不以提供、出租或其他變相方式將個資揭露予第三人。
管理組織與運作
為有效管理隱私風險,本公司設立「鈺創個人資料管理執行小組」作為準則之制定與實施單位。透過定期會議及議題導向的臨時會議,建立跨單位溝通平台,蒐集最新法規資訊並稽核各項個資保護措施之執行成效。
114年度執行成果
- 教育訓練成效:
辦理新進員工個資保護培訓,完訓率達 81.25%。 - 深化合規意識:
舉辦營業秘密保護、資安防範意識、誠信經營等人權保障課程,總學習時數達 379 小時,參訓共 513 人次。完訓後測驗及格率與受訓員工佔比皆為 100%。 - 風險管理與零裁罰:
本年度透過郵件、檢舉專線或書面報告之檢舉案件合計 0 件,亦未發生任何違反個人資料保護法之事件。
資訊安全政策
本公司建立「資訊安全,人人有責」之觀念,確保公司資訊之機密性、完整性及可用性,已依公司營運要求及相關法令規範,制定資安政策作為資訊安全管理之遵循方針,並藉由內部資安組織之運作以確實執行管理措施,另應建立員工資安風險意識,並藉由管理程序及安全防護技術,以達到資訊蒐集、處理、傳送、儲存及流通之安全目標。
資訊安全組織、成員及監督
- 資安委員會:本公司已設立資訊安全委員會,負責訂定、審核資訊安全方針、資源分配及檢視各項措施執行情況,另高階管理階層主管擔任管理代表,負責資訊安全管理事項之協調及推動,除定期召開資安會議並就執行情形每年一次向董事會提出報告。
- 執行秘書與成員:由專責資安主管擔任執行秘書襄助有關資安工作進行,並由行政、研發、法務、資訊及廠務等部門主管擔任擔任委員以參與資訊安全各項計畫、措施之擬訂與執行。
人力資源安全與資訊安全教育訓練
- 本公司已經資訊安全納入人員聘用變更或終止聘用流程,對所屬員工進行管理,以確保其在職位上能執行各項相關資訊安全措施,降低可能的資訊安全風險。
- 本公司定期按員工所從事業務工作性質及當前資安環境所需,安排資安意識、社交工程攻擊與防範教育訓練,以建立員工資訊安全認知,提升公司資訊安全水準。
- 為加強資訊安全管理人力之培訓及提升本公司資訊安全管理能力,本公司安排對專責人員進行資訊安全管理專業訓練課程及外部資訊安全職能訓練課程,辦理資訊人員資安內部訓練課程。
- 不定期對員工發出資安防駭訊息公告及郵件資安通告,提醒全公司同仁提高警覺,並提供同仁資安事件資訊及防範因應措施。
資訊資產鑑別、風險評估及資源投入
- 為識別公司資產及確保所有資產依其重要性受到保護,本公司每年定期進行資訊資產清點與分類,檢視資訊資產之機密性、可用性及完整性,評估其可能存在的弱點與可能面臨的威脅擬訂風險處理計畫持續追蹤至完成改善為止。
- 為因應外部資安威脅危害,本公司持續在既有防護機制外加強相關縱深防禦措施,以防毒、防駭、防漏三大資安防護主軸為目標,建置防火牆、入侵偵測防禦、防毒系統、、雙重部署端點偵測與回應軟體(EDR)及啟動多因子認證(MFA)等各項資安防護方案,以提升公司在防禦外部攻擊以及確保內部機密資訊防護的能力。
資訊安全事件通報與應變
- 本公司已參加國內資安聯防組識以取得及分享各項資安情資俾及時採取因應措施。
- 針對可能影響營運衝擊之事件,進行模擬演練;對於本公司資訊安全事件,各部門應在事件發生時按權責及事件分級機制進行通報、依已擬訂之應變計畫妥善採取措施,並將處理過程及結果妥予記錄並向資安委員會報告。
政策調整與修訂
本政策定期由資訊安全委員會依相關法令、技術及業務等最新發展現況進行修訂,以確保合宜、適切及有效性。
執行情形
本公司導入建立完整的ISO27001資訊安全管理系統,在2024年6月通過第三方驗證取得核發證書,證書之有效期限為2027年6月,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「計劃-實施-查核-行動」(PDCA, Plan-Do-Check-Act)循環以持續改善。
證書
