樺漢科技
Ennoconn Technologies,Ennoconn Corp. 樺漢科技
資訊安全管理政策 : 人人做資安 資通保平安
為加強資訊安全管理,維護公司重要資訊系統的保密性、完整性和可用性,樺漢制定了多項資訊安全法規和制度,規範公司人員的資訊安全行為。樺漢每年定期對相關系統進行審查,看是否符合經營環境的變化,並根據需要及時進行調整,建立安全可靠的科技產業。
樺漢設置【資訊安全管理委員會】,為了降低公司機密資料受資安威脅,對內:樺漢對於系統存取權限加以限制,管制使用者終端設備讀取、寫出及對外連線能力。對外:以防火牆 / 入侵偵測系統 (IPS) 作為防護機制,防止未經授權之連線。
除了日常資料的備份及支援機制,針對各業務流程建立營運衝擊分析,對於關鍵業務擬定業務持續計畫,安排每年進行業務復原演練。
公司若任用資訊委外廠商時,將依據【委外資訊服務管理程序】與廠商協議保密要求,並簽署【保密合約】。系統承包廠商皆須遵守本公司【系統開發與維護管理程序】之規定,每年透過監督廠商上一年度服務提供或交付之情形,進行評估是否符合樺漢要求。
若發生資訊安全事故,資訊單位人員依資訊安全事件等級 (一級至三級) 分類,進行異常狀況排除及風險控制,隔離受影響系統、停用不必要的功能,確保重要數據備份,強化邊界防護,避免進一步損害。最後,將事件登錄於【資訊安全事件報告單】,保留當時處置方式及追溯性。
員工的資訊安全意識培養及對資訊安全責任的認知,皆為公司資安管理的重要一環。針對新進員工,要求簽署【誠信廉潔暨智慧財產權約定書】,以強化其對資訊保護與合規義務的認識;對於在職員工,樺漢每年由資訊單位對全體員工進行至少一次之資安通識訓練,強調每位員工皆應承擔資訊安全責任,確保公司資訊資產不受威脅;而對於離職員工,則依據存取控制管理程序,確實執行帳號關閉作業,防範潛在資安風險。
公司設有專責之資訊安全部門【資訊安全管理部】,並設置專責之資訊安全主管和人員各一名。
資訊安全管理部於 2024 年 11 月 14 日提報董事會【2024 年本公司資訊安全風險管理實施情況】。公司於 2023 年 6 月 13 日獲得 ISO-27001 認證,並於 2025 年 4 月 15 日完成 ISO-27001:2022 版本之轉版認證。
本公司資訊安全管理八大規範
- 程序及資料之存取與控制作業
- 資料輸出入之控制作業
- 資料處理之控制作業
- 檔案及設備之安全控制作業
- 硬體及系統軟體之購置、使用及維護控制作業
- 系統復原計畫及測試程序控制作業
- 資通安全檢查之控制作業
- 公開資訊之控制作業
本公司資訊安全管理架構
本公司資訊安全事件通報流程
ESG風險評估
本公司就企業社會責任重大性原則,進行相關之環境、社會或公司治理議題之風險評估,並針對評估出之風險訂定相關風險管理政策或策略如下
| 重大議題 | 風險評估項目 | 風險管理政策及策略 |
|---|---|---|
| 環境 | 環境保護及生態保育 | 本公司用心投入環境保護,訂定廢棄物管理辦法,並透過PDCA的管理循環控制,有效降低了公司日常營運對環境的影響。 本公司厲行節能減碳措施,透過資源回收再利用及推行綠色庶務以減少一次性廢棄物對於地球環境的衝擊。 |
| 社會 | 勞工及職業安全 | 本公司關心每一位工作夥伴,制定「職業安全衛生政策」、「安全承諾書」、「職業安全衛生工作守則」並辦理職安四大計畫「母性保護計畫」、 「人因性危害預防計畫」、「異常工作負荷促發疾病預防計畫」、「職場不法侵害預防計畫」以維護樺漢公司工作場所之安全與衛生, 確保員工之生命財產安全與環境安全。 另公司會持續在辦公區域與廠區加強同仁危害認知的能力並宣導,營造安全職場文化,讓每位同仁都能在安全的職場平安工作。 我們關心員工的健康,並與健檢中心合作,員工每年得定期安排時間做身體健康檢查。 |
| 社會 | 消費者權益及產品安全 | 在消費者權益面,本公司針對出售之產品提供產品責任險,以保障消費者權益,並於公司網站設置聯繫溝通管道,直接與利害關係人連絡對談。 |
| 公司治理 | 法令遵循 | 本公司設立專責公司治理單位,定期檢視及修訂本公司之公司治理守則及相關辦法,並訂有「防範內線交易之管理程序」,以規範內部重大資訊保密作業程序。 加強宣導不得利用市場上未公開資訊買賣本公司之有價證券。相關辦法經本公司內部控制制度落實執行。 |
相關文件
| 文件名稱 | 文件連結 |
|---|---|
| 樺漢科技資訊安全風險管理政策 |  |