USUN Technology

Powerful Energy

風險管理

資訊安全政策及管理

本公司資訊安全之權責單位為資訊部,設置資訊主管一名,及專業資訊工程師數名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全相關作業,且每年定期Review、修正及加化之,以確保集團資訊作業安全。
基於資訊安全的重要性,權責單位每年定期向董事會報告公司資訊安全治理與執行狀況。

資訊安全政策及具體管理方案

目的:

本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。

目標:

  • (一)可用性-Availability:
    確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
  • (二)完整性-Integrity:
    將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整 性。
  • (三)機密性-Confidentiality:
    適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。

範圍:

  • 資訊安全政策制定及評估
  • 組織的資訊安全職責與分工
  • 人力資源安全與教育訓練
  • 資訊資產管理
  • 存取控制與密碼管理
  • 密碼管理
  • 實體與環境安全
  • 作業安全管理
  • 網路安全管理
  • 資訊系統取得、開發及維護
  • 供應商安全管理
  • 資訊安全事故管理
  • 營運持續管理
  • 遵循性(適法性)

資訊安全相關具體執行措施如下:

左右滑動查看更多資訊

項目具體管理方式
防火牆防護防火牆設定連線規則。
使用者上網行為控管機制使用自動網站防護系統控管使用者上網行為。
防毒軟體政策使用多種防毒軟體,並自動更新病毒碼,並每週執行一次全機掃描, 降低病毒感染機會。
作業系統更新作業系統自動更新,因故未更新者,由資訊部協助更新。
郵件安全管控有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
網站防護機制網站有防火牆裝置阻擋外部網路攻擊。
資料備份機制重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
異地存放伺服器與各項資訊系統備份檔,分開存放於分公司。
重要檔案上傳伺服器公司內各部門重要檔案上傳伺服器存放,由資訊部統一備份保存。
資訊中心檢查紀錄表資訊中心檢查紀錄表紀錄機房溫溼度、資料備份、防毒軟體更新、網路流量等紀錄。
資訊系統、軟體取得、使用管控各項系統、軟體安裝使用,使用者需提出申請,經單位主管核准,資訊部確認現有授權,如需新增採購授權,,請該單位提出,採購完成後,資訊部協助安裝作業,以達實際管控之效。

資安事件通報程序

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序 之規範進行。

個人資料保護

本公司重視「客戶隱私權保護」,遵循《個人資料保護法》,訂定《個人資料保護事項辦法》,及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,制定資料標準與分級,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護,以及資料的可用性、完整性及保密性。

適用範圍涵蓋本公司所有人員、人力派遣公司派駐人員、與本公司有業務往來之廠商或顧問(包含其員工或臨時雇員)。針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會提供、出租或以其他變相之方式,將個資揭露予第三人,且會依循公司所定之《個人資料保護事項辦法》落實執行,致力維護客戶的資料安全及隱私權利。此外,本公司為更有效管理隱私相關風險,設立個人資料保護委員會,負責執行與監督《個人資料保護事項辦法》的遵循情形。本公司個人資料保護事項如下:

第一條 本個人資料保護政策

  • 一、確保本公司各項業務之執行符合個資法相關法規或法令之要求。
  • 二、闡明所有人員應遵循的個人資料保護目標,於合理的範圍內蒐集、處理及利用個人資料,建立本公司執行業務或管理內部人員,對於客戶及員工個人資料使用的依據,降低本公司與員工可能的法律風險,保障客戶權益及維護本公司信譽。

第二條 管理範疇

  • 由管理階層指派個資管理負責人負責本政策之擬訂及推展,並建立個資管理組織,進行個人資料管理體系之規劃、實施、運作、監督、查核、維護與改善作業,並定期或在重大變化時執行管理審查個人資料管理體系,確保其運作之適切性及有效性。管理範疇宜依據業務規模及特性,包含以下項目:
  • 一、建立個人資料保護管理程序採用與國內資安標準相當的個人資料管理指標,建立個人資料管理程序。
  • 二、規範個人資料蒐集、處理及利用原則,基於合法之特定目的在確實必要的範圍內處理個人資料,其要項如下:
  • (一) 確認蒐集個人資料之特定目的符合法令規定,並適當留存稽核的軌跡。
  • (二) 處理個人資料應依循本公司資訊安全相關辦法,建立內部接觸資料的權限及資料對應的風險等級,配合風險等級訂定控管機制。
  • (三) 告知義務之履行:確認是否得免為告知,並依據蒐集情況採取適當的告知方式。
  • (四) 確認資料之利用符合特定目的,及是否可以進行特定目的外之利用,並適當留存稽核軌跡。
  • (五) 遵循對特種個資蒐集、處理或利用之限制。
  • 三、 訂定個人資料檔案安全維護措施以適當的之技術保護個人資料,提供個人資料檔案適當之安全管理措施,保護其所蒐集、處理或利用之個人資料。
  • 四、 建立個人資料管理事件緊急應變程序
  • (一) 訂定個人資料保護之可接受的風險程度與因應措施,當個資事件發生導致利害關係人權益受損時,進行適當地回應與處理。
  • (二) 設置處理申訴及諮詢的管道,供當事人行使關於個人資料的相關權利。
  • 五、 持續維運個人資料保護管理的相關程序
  • (一) 進行相關個人資料管理程序、個人資料管理體系及個人資料管理指標的評估及查核作業,以確保本政策及相關程序之有效性,並檢查是否落實執行。
  • (二)如有未落實執行或規範變更時,協助改善相關的程序及管理措施,以持續增進個人資料管理系統的有效性。

第三條 權責

  • 一、 本公司所有人員,皆應瞭解並確實遵守本政策,並應完全地參與本政策方案之執行。
  • 二、 本公司管理階層負責指派個資管理負責人,就本公司個人資料管理制度之運作,負監督管理權限之責,並管理、指揮本公司個人資料保護管理執行組織之運作,執行落實遵循個資法。
  • 三、 業務單位
  • (一) 得就各單位業務特性,依本政策訂定辦法、作業規範或執行細則,惟不得逾越本政策之要求。
  • (二) 辦理委外業務之單位應要求受委託機構訂立個人資料保護管理制度,並對受託機構為適當監督。
  • (三) 於辦理接受外部機構委託之作業時,關於受委託蒐集、處理或利用個人資料等事項,亦應遵循本政策規定辦理。

第四條 違反責任及罰則

  • 一、 本公司所有人員均應遵循本政策,違反者須依本公司相關規定予以處分。
  • 二、 如涉有相關民事賠償、刑事責任、行政裁罰者,本公司得終止其僱用關係並衡酌情節追訴其法律責任。
  • 三、 員工對於本公司之個人資料保護義務於雙方終止僱用關係後仍繼續有效。

第五條 實施與修訂

  • 本政策未盡事宜,悉依本公司相關管理規範及相關主管機關法令規定辦理。

本公司就資訊安全教育訓練,揭露 114 年度投入個資保護政策相關量化數據及管理指標如下:

年度課程名稱日期講師時數人數
114資訊安全通識教育訓練2025/2/20李政都129
資訊安全教育訓練2025/10/7李政都114
資安教育訓練2025/11/21李政都17
資訊安全教育訓練2025/12/17李政都16
統計4堂56人