資訊安全
政策、組織與目標
為保護客戶、供應商與員工資訊安全,確保實現營運持續不中斷之目標,上銀制定發布「資訊安全目標及政策」,做為資安治理規劃與執行之依據準則。由公司治理之角度來推動資訊安全之防護與管理,確保公司資訊資產之機密性、完整性與有效性獲得保障,達成法令與外部關注方之資訊安全相關議題回應與處置。
為專責推動資安治理之工作,上銀科技成立資安管理委員會,由董事會成員之一、總經理暨共同執行長擔任主任委員,專責監督資訊安全目標及政策是否落實及有效執行,並於每年向董事會提供資安治理之報告。
在資安管理委員會架構中,設立專責小組分工,與部門資安委員( 原則上以部門理級主管擔任),目的是達成跨部門資安管理整合,將資安管理措施推展到每個員工,形塑資安意識組織文化。
資安認證
上銀多年來建立許多資安管理制度與導入系統管理工具,為評估資安管理系統之有效性,確保資安管理符合國際標準,於 2023 年 3 月通過ISO/IEC 27001 之驗證審查並取得證書,驗證之內容涵蓋了營運主要之人員、系統、廠區與機房。
建立資安意識之企業文化
為落實資訊安全目標及政策,透過教育訓練的方式,對全體系統使用員工進行資安認知訓練,更進一步針對系統管理人員實施進階之資安訓練。以攻心為上之思維,先對員工進行觀念校準及意識建立,同時不斷地宣達資安觀念,將資安管理制度落實在每個員工的日常工作。
• 新進員工教育訓練內容包含資安認知與一般資安管理原則,讓員工入職即烙印對資安之觀念與態度。
• 透過建置於各工作場域之出勤打卡KIOSK設備,持續性輪播資安宣導訊息。
• 每次登入電腦時,自動跳出閱讀視窗,針對資訊保護、智慧財產權以及基本系統資安管理原則等資訊,讓員工對於資安管理要求習以為常融入日常工作之中。
• 對於違反資安管理或資訊保護工作規則之員工,依情節程度給予人事懲處,表達公司對於維護資訊安全之決心。
實施資安措施之項目與成果
應用程式系統資安持續改善
由於核心資訊應用程式系統多數為自行開發,因此持續改善資安功能才能達成組織之資安目標與策略。2023 年度我們以強化識別追蹤、系統權限管控、技術風險改善、軟體開發保護、資料安全防護、實體檔案防護、驗證機制改善、資料整合改善等八大面向,完成 182 件應用程式資安改善設計上線。
資安威脅因應措施