112年度ESG永續報告書

董事長的話 關於和成欣業 誠信治理 永續環境 社會關懷 利害關係人 與重大主題鑑別 編輯方針 3.6 資安防護 誠信治理 和成欣業十分重視資訊安全，於民國110(2021)年成立「資訊安全組織」，並於民國110(2021)年導入 ISO27001 : 2013，由總經理室資訊組成立資訊安全執行小組，負責日常資安維運，另成立資安稽核小組，每年進行資安內部稽核至少 一次，並召開資訊安全管理審查會議，會中進行資安風險管理，建立各項資安管制措施，諸如防火牆防護設定、防毒軟體安 裝及病毒碼更新檢查、郵件安全管控、網站防護機制、資料備份機制及異地存放、災難復原演練、機房進出管控、定期弱掃 等措施，由資訊組主管每年定期向資安長報告資訊安全執行成果，再由外部單位進行資安防護管理系統稽核。透過資訊安 全管理系統(ISMS)的建置，可保障公司資訊之機密性、完整性、可用性，避免發生有人為疏失、蓄意破壞或自然災害時，遭 致公司資產不當使用、泄漏、竄改、毀損、遺失等情形，影響公司作業或損及公司權益。112年度未發生重大資安事件。 資安防護 主題 科技和成，不是只是產品面，也代表公司的經營模式未來會朝向E化整合，而資安防護不只是保 護公司，也更代表公司對客戶的保障。 對公司的重要性 1.辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。 2.定期進行內部與外部稽核，確保相關作業皆能確實落實。 3.保護本公司業務活動資訊，避免未經授權的存取與修改，確保其正確完整。 ４.確保本公司核心業務維持一定水準的系統可用性。 政策/承諾 資訊安全管理系統(ISMS)有效量測表： 112年目標及具體成果 量測項目 目標水準 量測結果 A.5 資訊安全政策 A.6 資訊安全的組織 A.7 人力資源安全 A.8 資產管理 A.9 存取控制安全 運作安全 A.11 實體及環境安全 A.12 1 2 3 4 1 2 1 1 2 1 2 1 1 2 3 4 5 0 0 0 0 0 0 0 0 2 0 1 0 0 0 0 1 0 0 1 1 1 1 0 1 0 0 2 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 4 １ 0 0 0 0 0 0 0 0 1 資訊安全政策審查次數 資訊安全政策傳達次數 內部稽核 外部稽核 有否確實簽署保密協議 管理審查會議召開次數 檢查資訊安全受訓時數 資訊資產清單更新 資訊資產清單符合分級與標示規定 定期審查重要系統存取權限(帳號清查) 帳號申請未依規定填寫表單 檢查有否遵守機房門禁規定 定期監控重要伺服器是否符合標準 本公司病毒爆發次數 弱點掃瞄次數 資料備份是否符合規定 定期查核防毒軟體病毒碼更新 ≧1次/年 ≧1次/年 ≧1次/年 ≧1次/年 不符≦2件/年 ≧1次/年 一般人員≧4小時 資訊人員≧4小時 ≧1 次/年 不符≦2件/年 ≧ 1次/年 不符≦2件/年 不符≦2 件 不符≦2 件 不符≦5次/年 ≧1次/年 不符≦1次/年 ≧2 次/年 項目 47 第一季第二季第三季第四季