為了維護公司、客戶以及合作夥伴的資訊資產安全以及隱私,榮剛已於2024年底完成並通過ISO 27001:2022續評驗證作業,驗證機構:法標國際認證股份有限公司(AFNOR Asia Ltd.)以確保ISO 27001:2022之認證持續有效,藉由確保認證之有效性來落實相關作業,並透過PDCA(Plan-Do-Check-Act)循環式管理來追蹤與改善資安目標與成效,此外榮剛亦依循ISO 27001:2022管理系統規劃與執行相關資訊安全政策,並透過教育訓練課程提升同仁資訊安全意識,打造穩健的資安防護網,確保公司、客戶或是合作夥伴之機密資訊、員工個資均能受到妥善保護,以達成榮剛資安與永續營運目標。
此外,為了能即時獲得外部資安情資,或分享相關資安情報,本公司亦已加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)之台灣資安聯盟(台灣CERT/CSIRT聯盟)會員,透過資安情資之分享,強化公司之資訊安全體質。
「提升資安共識」、「確保營運持續」
為了促使榮剛公司各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護公司重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本公司職員之權益,並期許全體同仁均能了解、實施與維持,達到本公司營運的目標。
提升資安共識
督導並教育全體員工以自律、自主、共榮精神,落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全教育宣導,以提高資訊安全意識。如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。
確保營運持續
由本公司全體員工貫徹執行資訊安全管理制度,以保護各項資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的資安防護措施,將風險降至可接受程度,持續進行監控、審查及稽核資訊安全管理制度的工作,確保各項資訊系統營運持續,達到永續經營的目標。
榮剛公司已遵照主管機關要求,向董事會呈報設置資安專責主管乙名及資安專責人員乙名並完成提報主管機關,以及遵循IS0 27001:2022管理系統設立資訊安全工作小組(共計9名成員),負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向董事會報告公司資安治理概況。
榮剛稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
組織運作模式採PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
榮剛公司定期審視內部資訊安全規範,並於董事會中報告資安治理概況。本公司亦遵從ISO 27005風險評鑑原則,根據資產價值、弱點、威脅與影響性,分析內部風險水平,並以此風險評估結果制定安全措施強化項目,精進且提升整體資訊安全環境。
此外,榮剛亦持續進行系統之弱點掃描,2024年度弱點掃描所發現之低(Low)9件、中(Medium)11件、高(High)0件、嚴重(Critical)2件、資訊(Info)114件,風險等級漏洞,針對可進行修補、修正之項目均已執行處理措施,另外尚有多項弱點預計於2025年配合相關系統升級後,接續進行改善作業,屆時將再進行掃描,追蹤改善狀況;透過如此不斷的循環以及落實ISMS管理機制,持續強化我司資網通安全防禦措施,以降低外部威脅造成的營運風險。
企業內遭受社交工程攻擊最常見之手法即為使用電子郵件進行滲透,榮剛透過專業廠商協助進行社交工程演練以提升同仁對於社交郵件的資安意識,並於測試結束後,進行社交工程之資訊安全教育訓練,提醒同仁隨時要有資安警覺,不要點選來路不明的電子郵件,以防範這類社交工程型態的攻擊。
Others
點選以下文章連結查看詳細內容
