2025.11.20
ISO/IEC 27001 資訊安全管理之資訊揭露
毅澄環保股份有限公司為強化各項業務之資訊安全暨管理品質,確保本公司資訊資料、系統、設備及網路之資訊安全,提供永續之服務,並建立資訊安全管理制度,特訂定「資訊安全政策」(以下簡稱本政策)。
1.資訊安全政策
(一)本公司訂定資訊安全政策依據最新版ISO/IEC 27001資訊安全管理系統之國際標準制度
(二)本公司資訊安全組織之組成,由總經理擔任召集人成立「資訊安全推動小組」,由經理擔任執行秘書,兼任幕僚聯繫作業,並依其負責職務區分為資訊安全制度組、資訊安全稽核組、事件通報處理組及風險管理控制組。
(三)本公司訂定資訊安全政策依據最新版ISO/IEC 27001資訊安全管理系統之國際標準制度
(四)透過各單位主管持續落實公司同仁資訊安全教育及情資等級分享機制 ,以提升資訊安全意識並降低資訊安全事件發生率。
(五)檢視資訊安全政策適用性並遵守各項資訊安全管理措施,確保所使用電腦硬體、軟體、週邊及網路系統之安全性及資訊作業之正確性與有效性。
(六)公司機敏資料及資訊系統之機密性與完整性,避免未經授權之存取、竄改與破壞。
(4) 資訊安全推動小組定期召開會議,確保資安措施持續有效,並依據資安指標,檢討各項資安措施、 教育訓練及宣導等改善作為,確保公司重要機密資訊不外洩。
2.資訊安全具體管理方案
(一)裝置安全:排程電腦掃描、軟體更新,精進網路防火牆防駭功能,網路監控,防止電腦病毒跨機台及跨區域擴散。
(二)資訊系統安全:資訊系統含有營業機密、個人資料或其他機敏資料者,應使用帳號/密碼認證措施,控管資料的存取權限,並記錄其行為,且為確保其密碼安全,密碼應以加密或經雜湊處理後再儲存。
(四)網際網路安全:電子商務、線上交易等,應由系統管理者申請加密憑證,以確保傳送端與接收端資料之真確且完整。包括應用程式下載管控機制,資訊系統登入密碼驗證。
(5)資料安全保護技術強化:導入資料保護工具,藉由資料標籤加強文件機密等級分類及保護,資料加密控管及追蹤。
3.重大資通安全事件
本公司並未發現重大的網絡攻擊或事件己經或可能將對公司業務及營運產生重大不利影響,也未曾涉入任何與此有關的法律案件或監管調查。
4.為降低資訊安全事件導致的服務中斷風險,已建置資料備份及系統備援機制,以確保資訊服務不中斷。並規劃定期執行災難還原演練,以驗證備份資料的正確性、可靠性及可還原性,確保資訊系統能持續正常運作。
5.本政策未盡事宜,悉依有關法令及本公司相關規定辦理
1.資訊安全政策
(一)本公司訂定資訊安全政策依據最新版ISO/IEC 27001資訊安全管理系統之國際標準制度
(二)本公司資訊安全組織之組成,由總經理擔任召集人成立「資訊安全推動小組」,由經理擔任執行秘書,兼任幕僚聯繫作業,並依其負責職務區分為資訊安全制度組、資訊安全稽核組、事件通報處理組及風險管理控制組。
(三)本公司訂定資訊安全政策依據最新版ISO/IEC 27001資訊安全管理系統之國際標準制度
(四)透過各單位主管持續落實公司同仁資訊安全教育及情資等級分享機制 ,以提升資訊安全意識並降低資訊安全事件發生率。
(五)檢視資訊安全政策適用性並遵守各項資訊安全管理措施,確保所使用電腦硬體、軟體、週邊及網路系統之安全性及資訊作業之正確性與有效性。
(六)公司機敏資料及資訊系統之機密性與完整性,避免未經授權之存取、竄改與破壞。
(4) 資訊安全推動小組定期召開會議,確保資安措施持續有效,並依據資安指標,檢討各項資安措施、 教育訓練及宣導等改善作為,確保公司重要機密資訊不外洩。
2.資訊安全具體管理方案
(一)裝置安全:排程電腦掃描、軟體更新,精進網路防火牆防駭功能,網路監控,防止電腦病毒跨機台及跨區域擴散。
(二)資訊系統安全:資訊系統含有營業機密、個人資料或其他機敏資料者,應使用帳號/密碼認證措施,控管資料的存取權限,並記錄其行為,且為確保其密碼安全,密碼應以加密或經雜湊處理後再儲存。
(四)網際網路安全:電子商務、線上交易等,應由系統管理者申請加密憑證,以確保傳送端與接收端資料之真確且完整。包括應用程式下載管控機制,資訊系統登入密碼驗證。
(5)資料安全保護技術強化:導入資料保護工具,藉由資料標籤加強文件機密等級分類及保護,資料加密控管及追蹤。
3.重大資通安全事件
本公司並未發現重大的網絡攻擊或事件己經或可能將對公司業務及營運產生重大不利影響,也未曾涉入任何與此有關的法律案件或監管調查。
4.為降低資訊安全事件導致的服務中斷風險,已建置資料備份及系統備援機制,以確保資訊服務不中斷。並規劃定期執行災難還原演練,以驗證備份資料的正確性、可靠性及可還原性,確保資訊系統能持續正常運作。
5.本政策未盡事宜,悉依有關法令及本公司相關規定辦理
