我們將資訊安全與資料的完整性放在第一位。
為建立更安全的數位化之路,我們正積極投資於資訊安全。儒鴻致力於資料的保護,結合資通安全上的努力,執行合乎產業標準的資安風險評估與預防。
儒鴻資訊安全部門
為保障儒鴻,我們的資訊安全部門致力於保護公司的資訊資產。該部門依據《公開發行公司建立內部控制系統規範》第9-1條以及場外交易(OTC)公司的二級標準成立,增強了儒鴻及其子公司的安全性,並在嚴格措施與保持自主性之間取得平衡。112 年 9 月 7 日,為進一步強化這項承諾,我們指派了一位資訊安全主管,並成立了專責之資訊安全團隊。
部門的主要職責:
- 規劃、執行及領導資訊安全舉措和早期預防措施。
- 進行年度獨立評估,以評估公司目前的狀態以及新的資訊安全政策、規範和技術發展。
- 協同公司各部門進行溝通,共同分享重要安全資訊並制定事故報告機制。
- 與稽核單位合作進行計劃內及不定期的安全稽核。
安全合規要求
為展現對頂級數據安全和完整性標準的堅定承諾,我們制定了每個單位必須嚴格遵守的關鍵安全政策和程序。這種合規性確保了數據的機密性、完整性和可用性,並防止未經授權的存取、干擾和其他風險。
此外,我們的安全風險管理系統採用了「Plan-Do-Check-Act」(PDCA) 方法。這個持續改進循環增強了效果,確保公司的可持續運營和成長。
資通安全風險管理框架
我們制定了強大的風險管理策略,以有效實施我們的資訊安全政策。這些策略旨在最小化威脅、漏洞以及事件的影響。
核心策略包括:
- 加強安全措施:進行每半年一次的漏洞掃描,提供初步測試修復,提供改進建議,並實施關鍵風險控制措施。112 年提供了初步測試修復和改進的建議。
- 備份與恢復:執行定期的數據和異地備份,並進行年度災難恢復演習,附詳細報告。
- 安全情報合作夥伴:儒鴻加入了 ISAC 和 TWCERT/CC 資訊安全組織,以獲取實時威脅情報。這加速了資通安全的檢測與對威脅性的反應機制。
- 教育與培訓:每年度進行兩次的社會工程演練,執行資通安全培訓,並定期開展安全意識活動,以保持所有員工的警覺。作為我們 112 年資通安全倡議的一部分,我們向 1,000 名員工發送了 3,000 封的模擬釣魚郵件,與這些郵件互動的員工必須完成我們的「社會工程教育與培訓」課程。
- 提升資訊安全能力:強烈鼓勵員工參加安全研討會和培訓課程,以深化知識和提高專業技能。在 112 年期間,儒鴻資安團隊參加了三場資通安全研討會和兩場培訓課程。
- 董事會監督:資訊安全主管定期向儒鴻董事會報告,並提出年度風險評估和戰略建議審查。
深入了解我們努力的成效
