投資人專區

公司治理 三竹資訊股份有限公司 三竹資訊股份有限公司
營運監理 三竹資訊股份有限公司 三竹資訊股份有限公司
財務資訊 三竹資訊股份有限公司 三竹資訊股份有限公司
股東專區 三竹資訊股份有限公司 三竹資訊股份有限公司
公開資訊觀測站 三竹資訊股份有限公司 三竹資訊股份有限公司
三竹資訊股份有限公司 三竹資訊股份有限公司
資訊安全

為提升本公司資訊安全治理與市場競爭力,於2024年1月1號啟動ISO27001驗證專案。驗證範圍依據適用性聲明書版次1.0,「提供訊息系統之開發、維運、網路服務與機房管理之資訊安全管理活動」。

ISMS資訊安全管理系統文件1.0版,於2024年5月31日公告實施。2024年11月25至26日由第三方驗證單位SGS通過驗證,目前證書有效期自2025年3月24日至2028年2月19日。

三竹資訊股份有限公司
資通安全政策:

在本公司辦公環境作業中,確保提供所有同仁業務上所需支援與資源以及客戶相關資料保護,所有員工必須確實遵循資訊安全管理制度之相關規定,落實標準作業程序並以謹慎的態度執行相關之作業。

  • 資訊安全政策願景

    • 強化人員認知、避免資料外洩。
    • 落實日常維運、確保服務可用。

  • 依據資訊安全政策願景,擬定資訊安全目標如下:

    • 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
    • 保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
    • 定期進行稽核作業,確保相關作業皆能確實落實。
    • 確保本公司關鍵核心系統維持一定水準的系統可用性。
  • 應針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間以及結果評估方式與評估結果。

  • 推動目的:

    • 本公司爲建立安全資訊作業環境,保護客戶資料及本公司核心服務,及必要時執行緊急反應服務,確保委外客戶資訊作業的安全。本公司應有持續服務的能力,避免有作業停頓或遭受外來攻擊導致核心服務及監測客戶資訊洩露等事件發生,故建置資訊安全管理制度 ( ISMS),維護聲譽與提供委外客戶永續服務。
    • 宣導資訊安全與落實資安機制,並定期或不定期檢測資安執行狀況,進行改善措施。

  • 推動目標

    • 擴大本公司核心服務能量,取得客戶信任並積極爭取潛在性客戶。
    • 本公司所提供客戶服務數量與類型持續成長,為了取得客戶信任並積極爭取潛在性客戶,確保本公司同仁於業務上所使用之系統及客戶資料之安全。
資通安全管理組織:

成立資訊安全委員會負責審議公司各項資安政策,推動各項資訊安全管理程序,監督對應之各項作業。

資訊安全管理委員會組織人員依下列方式產生,並將人員名冊列在「ISMS-L1-01-F01_資訊安全管理組織名冊」:

三竹資訊股份有限公司

  • 資訊安全管理委員會:

    • 資訊安全管理委員會召集人:由總經理或其指派人員擔任。
    • 資訊安全管理委員會委員:各一級單位主管應指派代表或由召集人指派委員。
  • 內部稽核小組:由召集人指派一人擔任組長,並設組員數名由組長指派擔任。
  • 資訊安全推動小組:由召集人指派一人擔任組長,並設組員數名由組長指派擔任。
  • 資安管理負責人員:由資訊安全推動小組組長指派。
  • 文件管制人員:由資訊安全推動小組組長指派一人擔任組長,並設組員數名由組長指派擔任。
資通安全管理措施:

  • 執行要素

    • 高階管理支持:推動 ISMS 不僅為專業技術問題,更是管理問題,高階管理階層支持與參與,推展必然順利。
    • 政策先行:推動需考量時間,確定認證與實施範圍,列出優先順序,逐步推展。
    • 全體共識:充分了解資訊安全管理制度的重要性,建立使命感,積極推動。
    • 專家輔導:資安專家意見與已獲得認證單位意見,極為重要,將善用專家經驗與能力。
    • 教育訓練:適度資安教育訓練,培養資訊安全管理技能。
    • 定期稽核:透過稽核程序,找出資安問題,提出改善建議,降低資安風險。
    • 持續改善:發現資安議題應即時研商對策,謀求改善機制,健全資訊安全管理制度。

  • 實施原則

    • 標準與法規:依據資訊安全管理標準 ISO/IEC 27001,作為本公司推動與建置 ISMS 的規範。
    • 教育與認知:透過資安教育訓練,使本公司同仁充分了解資訊安全管理制度的重要性,積極協助制度的實施。
    • 資訊管理:本公司需將資訊分類,不同等級資訊評價,應有相對保護管制措施;同時應掌握資訊服務所有步驟與記錄,任何人存取或使用資訊資產,均應僅限業務或任務之授權。
    • 環境管理:本公司資訊傳輸、儲存及運用資訊資產所依賴之環境,應加強安全防護措施,確保實體環境安全。
    • 人員安全:為有效實施資訊資產的安控機制,必須建立及驗證參與工作人員技術能力、鑑別技術人員工作經驗,以符合要求之機制。
    • 工作倫理:訂定安全政策及實施安全衡量標準時,應顧及個人權利與尊嚴;安全管理政策應符合公正原則及考量個人隱私權。
    • 系統安全:確保執行監測業務所需的各種系統與應用系統均妥善建置;定期安檢與防護,確保系統完整性,使資安事件機率降低。
    • 存取控管:建置適當的控管機制,列入管制資料的存取,必須獲得授權;傳輸與儲存列入管制的電子資料,必須加密處理。
    • 持續運作:應有妥善應變計畫,以保護資訊資產與資訊系統遭受破壞時,能快速回復原有功能,提供永續性服務。
    • 風險管理:應用風險管理技術來鑑別資訊資產價值,釐清面對的威脅與漏洞、法令規章的要求,據以採取相對應之措施,確保應受保護資訊的機密性、完整性及可用性。

  • 本公司控制措施之有效性量測

    • 為量測本公司資訊安全管理系統之控制措施的有效性,應定出執行本系統的目標,再由建置 ISMS 的目標檢視各項控制措施或控制措施群是否能有效地將風險控制在可接受的風險內,並記錄於「ISMS-L1-01-F04_資安目標量化表」定期檢視,產出相關的評量報告,並於年度管理審查會議中提出與檢討。