資訊安全
政策、組織與目標
為確保公司、客戶、供應商與員工的資訊安全,並達成營運持續不中斷之目標,上銀科技制定並發布「 資訊安全目標及政策 」,作為資安治理依據。公司從治理層面推動資訊安全的防護與管理,確保資訊資產的機密性、完整性與可用性,並妥善回應法規要求及各方對資訊安全之關注。
為專責推動資安治理,上銀科技成立「 資安委員會 」,由董事會成員之一/總經理擔任主任委員,負責監督資訊安全目標及政策之落實與執行成效,並由資安管理代表每年向董事會提交資安治理報告。
資安委員會的組織架構中,除設立專責小組分工,亦指派各部門資安委員( 原則上由部門理級主管擔任 ),由部門主管一起推動全體員工落實各項資安治理工作,進而建立全員當責資安之組織文化。
資安認證
上銀長期致力於建構完善之資安管理制度,並導入各項資安管理工具。為確保資安管理系統之有效性並符合國際標準,2023 年 3 月通過 ISO/IEC 27001 驗證審查並取得證書,驗證範圍涵蓋核心營運的人員、系統、廠區及機房。2024 年 3 月,再次通過外部驗證機構的稽核,確保了資訊安全管理系統( ISMS )的持續有效性與穩健運行。
建立資安意識之企業文化
為確保資訊安全目標及政策的落實,公司透過多層次的教育訓練,提升全體系統使用者的資安意識,並針對系統管理人員提供進階資安訓練。秉持「攻心為上」的理念,建立員工正確的資安觀念與意識,並持續宣導強化認知,將資安管理制度融入日常工作,確保每位員工皆能落實資安要求。為建立具有資安意識的企業文化,公司實施以下措施:
資安事件的通報及處理流程
為確保發現可疑之系統活動時,員工及系統管理者有明確的事件處理依據,公司訂立有以下資安事件的通報及處理流程:
實施資安措施之項目與成果
應用程式系統資安持續改善
由於核心資訊應用程式系統多數為自行開發,因此持續進行資安功能改善才能達成組織之資安目標與策略。2024 年度我們持續以強化識別追蹤、系統權限管控、技術風險改善、軟體開發保護、資料安全防護、實體檔案防護、驗證機制改善、資料整合改善等八大面向,完成 186 件應用程式資安改善設計上線。
資安威脅因應措施