USUN Technology

Powerful Energy

风险管理

信息安全政策及管理

本公司信息安全之权责单位为信息部,设置信息主管一名,及专业资讯工程师数名,负责订定公司信息安全政策,规划信息安全措施,并执行相关之资讯安全相关作业,且每年定期Review、修正及加化之,以确保集团信息作业安全。
基于信息安全的重要性,权责单位每年定期向董事会报告企业信息安全治理与执行状况。

信息安全政策及具体管理方案

目的:

本公司订定信息安全政策目标为确保信息的机密性、完整性和可用性。

目标 :

  • (一)可用性-Availability:
    确保各项信息资产能提供即时且正确的服务,以满足用户之需求。
  • (二)完整性-Integrity:
    将信息资产依重要性分类,并提供适当的保护以确保信息资产的完整性。
  • (三)机密性-Confidentiality:
    适当的划分资料的机密等级,并依其机密等级予以适当的规范及保护。

范围 :

  • 信息安全政策制定及评估
  • 组织的信息安全职责与分工
  • 人力资源安全与教育训练
  • 信息资产管理
  • 访问控制与密码管理
  • 密码管理
  • 实体与环境安全
  • 作业安全管理
  • 网络安全管理
  • 信息系统取得、开发及维护
  • 供应商安全管理
  • 信息安全事故管理
  • 营运持续管理
  • 遵循性(适法性)

信息安全相关具体执行措施如下:

左右滑動查看更多資訊

项目具体管理方式
防火墙防护防火墙设定连线规则。
使用者上网行为控管机制使用自动网站防护系统控管使用者上网行为。
防毒软体政策使用多种防毒软体,并自动更新病毒码,并每周执行一次全机扫描,降低病毒感染机会。
作业系统更新作业系统自动更新,因故未更新者,由资讯部协助更新。
邮件安全管控有自动邮件扫描威胁防护,在使用者接收邮件之前,事先防范不安全的附件档案、钓鱼邮件、垃圾邮件,及扩大防止恶意连结的保护范围。
网站防护机制网站有防火墙装置阻挡外部网路攻击。
资料备份机制重要资讯系统资料库皆设定每日完整备份、每小时差异备份。
异地存放伺服器与各项资讯系统备份档,分开存放于分公司。
重要档案上传伺服器公司内各部门重要档案上传伺服器存放,由资讯部统一备份保存。
资讯中心检查纪录表资讯中心检查纪录表纪录机房温湿度、资料备份、防毒软体更新、网路流量等纪录。
资讯系统、软体取得、使用管控各项系统、软体安装使用,使用者需提出申请,经单位主管核准,资讯部确认现有授权,如需新增采购授权,,请该单位提出,采购完成后,资讯部协助安装作业,以达实际管控之效。

资安事件通报程序

本公司资通安全通报程序如下,资安事故之通报与处理,皆遵守该程序之规范进行。

个人资料保护

本公司重视「客户隐私权保护」,遵循《个人资料保护法》,订定《个人资料保护事项办法》,及严谨的个资隐私安全管理与防护措施,并建构数据治理制度,制定数据标准与分级,落实数据访问权限管控及数据拥有者之复核机制,确保数据的存取与共享受到妥善治理与保护,以及数据的可用性、完整性及保密性。

适用范围涵盖本公司所有人员、人力派遣公司派驻人员、与本公司有业务往来之厂商或顾问(包含其员工或临时雇员)。针对营运过程中所涉及之个资隐私之搜集、处理、利用及保护,除遵循政府相关法令规章,在法令规定之范围内使用,不会提供、出租或以其他变相之方式,将个资揭露予第三人,且会依循公司所定之《个人资料保护事项办法》落实执行,致力维护客户的数据安全及隐私权利。此外,本公司为更有效管理隐私相关风险,设立个人资料保护委员会,负责执行与监督《个人资料保护事项办法》
的遵循情形。本公司个人资料保护事项如下:

第一条 本个人资料保护政策

  • 一、确保本公司各项业务之执行符合个资法相关法规或法令之要求。
  • 二、阐明所有人员应遵循的个人资料保护目标,于合理的范围内搜集、处理及利用个人资料,建立本公司执行业务或管理内部人员,对于客户及员工个人资料使用的依据,降低本公司与员工可能的法律风险,保障客户权益及维护本公司信誉。

第二条 管理范畴

  • 由管理阶层指派个资管理负责人负责本政策之拟订及推展,并建立个资管理组织,进行个人资料管理体系之规划、实施、运作、监督、查核、维护与改善作业,并定期或在重大变化时执行管理审查个人资料管理体系,确保其运作之适切性及有效性。管理范畴宜依据业务规模及特性,包含以下项目:
  • 一、建立个人资料保护管理程序采用与国内资安标准相当的个人资料管理指针,建立个人资料管理程序。
  • 二、规范个人资料搜集、处理及利用原则,基于合法之特定目的在确实必要的范围内处理个人资料,其要项如下:
  • (一) 确认搜集个人资料之特定目的符合法令规定,并适当留存稽核的轨迹。
  • (二) 处理个人资料应依循本公司信息安全相关办法,建立内部接触数据的权限及数据对应的风险等级,配合风险等级订定控管机制。
  • (三) 告知义务之履行:确认是否得免为告知,并依据搜集情况采取适当的告知方式。
  • (四) 确认资料之利用符合特定目的,及是否可以进行特定目的外之利用,并适当留存稽核轨迹。
  • (五) 遵循对特种个资搜集、处理或利用之限制。
  • 三、 订定个人资料档案安全维护措施以适当的之技术保护个人资料,提供个人资料档案适当之安全管理措施,保护其所搜集、处理或利用之个人资料。
  • 四、 建立个人资料管理事件紧急应变程序
  • (一) 订定个人资料保护之可接受的风险程度与因应措施,当个资事件发生导致利害关系人权益受损时,进行适当地响应与处理。
  • (二) 设置处理申诉及咨询的管道,供当事人行使关于个人资料的相关权利。
  • 五、 持续维运个人资料保护管理的相关程序
  • (一) 进行相关个人资料管理程序、个人资料管理体系及个人资料管理指针的评估及查核作业,以确保本政策及相关程序之有效性,并检查是否落实执行。
  • (二)如有未落实执行或规范变更时,协助改善相关的程序及管理措施,以持续增进个人资料管理系统的有效性。

第三条 权责

  • 一、 本公司所有人员,皆应了解并确实遵守本政策,并应完全地参与本政策方案之执行。
  • 二、 本公司管理阶层负责指派个资管理负责人,就本公司个人资料管理制度之运作,负监督管理权限之责,并管理、指挥本公司个人资料保护管理执行组织之运作,执行落实遵循个资法。
  • 三、 业务单位
  • (一) 得就各单位业务特性,依本政策订定办法、作业规范或执行细则,惟不得逾越本政策之要求。
  • (二) 办理委外业务之单位应要求受委托机构订立个人资料保护管理制度,并对受托机构为适当监督。
  • (三) 于办理接受外部机构委托之作业时,关于受委托搜集、处理或利用个人资料等事项,亦应遵循本政策规定办理。

第四条 违反责任及罚则

  • 一、 本公司所有人员均应遵循本政策,违反者须依本公司相关规定予以处分。
  • 二、 如涉有相关民事赔偿、刑事责任、行政裁罚者,本公司得终止其雇用关系并衡酌情节追诉其法律责任。
  • 三、 员工对于本公司之个人资料保护义务于双方终止雇用关系后仍继续有效。

第五条 实施与修订

  • 本政策未尽事宜,悉依本公司相关管理规范及相关主管机关法令规定办理。

本公司就信息安全教育训练,揭露 114 年度投入个资保护政策相关量化数据及管理指针如下:

年度课程名称日期讲师时数人数
114資訊安全通識教育訓練2025/2/20李政都129
資訊安全教育訓練2025/10/7李政都114
資安教育訓練2025/11/21李政都17
資訊安全教育訓練2025/12/17李政都16
统计4堂56人