樺漢科技
Ennoconn Technologies,Ennoconn Corp. 樺漢科技
资讯安全管理政策:人人做资安 资通保平安
为加强资讯安全管理,维护公司重要资讯系统的保密性、完整性和可用性,桦汉制定了多项资讯安全法规和制度,规范公司人员的资讯安全行为。桦汉每年定期对相关系统进行审查,看是否符合经营环境的变化,并根据需要及时进行调整,建立安全可靠的科技产业。
桦汉设置【资讯安全管理委员会】,为了降低公司机密资料受资安威胁,对内:桦汉对于系统存取权限加以限制,管制使用者终端设备读取、写出及对外连线能力。对外:以防火墙 / 入侵侦测系统 (IPS) 作为防护机制,防止未经授权之连线。
除了日常资料的备份及支援机制,针对各业务流程建立营运冲击分析,对于关键业务拟定业务持续计画,安排每年进行业务复原演练。
公司若任用资讯委外厂商时,将依据【委外资讯服务管理程序】与厂商协议保密要求,并签署【保密合约】。系统承包厂商皆须遵守本公司【系统开发与维护管理程序】之规定,每年透过监督厂商上一年度服务提供或交付之情形,进行评估是否符合桦汉要求
若发生资讯安全事故,资讯单位人员依资讯安全事件等级 (一级至三级) 分类,进行异常状况排除及风险控制,隔离受影响系统、停用不必要的功能,确保重要数据备份,强化边界防护,避免进一步损害。最后,将事件登录于【资讯安全事件报告单】,保留当时处置方式及追溯性。
员工的资讯安全意识培养及对资讯安全责任的认知,皆为公司资安管理的重要一环。针对新进员工,要求签署【诚信廉洁暨智慧财产权约定书】,以强化其对资讯保护与合规义务的认识;对于在职员工,桦汉每年由资讯单位对全体员工进行至少一次之资安通识训练,强调每位员工皆应承担资讯安全责任,确保公司资讯资产不受威胁;而对于离职员工,则依据存取控制管理程序,确实执行帐号关闭作业,防范潜在资安风险。
公司设有专责之资讯安全部门【资讯安全管理部】,并设置专责之资讯安全主管和人员各一名。
资讯安全管理部于 2024 年 11 月 14 日提报董事会【2024 年本公司资讯安全风险管理实施情况】。公司于 2023 年 6 月 13 日获得 ISO-27001 认证,并于 2025 年 4 月 15 日完成 ISO-27001:2022 版本之转版认证。
资讯安全管理八项标准
- 程序和数据访问与控制操作
- 数据输入和输出控制操作
- 数据处理控制操作
- 档案和设备的安全控制操作
- 硬件和系统软件的采购、使用和维护控制
- 系统恢复计划和测试程序控制操作
- 资讯安全检查的控制操作
- 控制公共信息
资讯安全管理框架
资讯安全事故报告程序
ESG 风险评估
本公司就企业社会责任重大性原则,进行相关之环境、社会或公司治理议题之风险评估,并针对评估出之风险订定相关风险管理政策或策略如下
| 重大议题 | 风险评估项目 | 风险管理政策及策略 |
|---|---|---|
| 环境 | 环境保护及生态保育 | 本公司用心投入环境保护,订定废弃物管理办法,并透过PDCA的管理循环控制,有效降低了公司日常营运对环境的影响。 本公司厉行节能减碳措施,透过资源回收再利用及推行綠色庶务以减少一次性废弃物对于地球环境的冲击。 |
| 社会 | 劳工及职业安全 | 本公司关心每一位工作伙伴,制定「职业安全卫生政策」、「安全承诺书」、「职业安全卫生工作守则」并办理职安四大计画「母性保护计画」、 「人因性危害预防计画」、「异常工作负荷促发疾病预防计画」、「职场不法侵害预防计画」以维护桦汉公司工作场所之安全与卫生, 确保员工之生命财产安全与环境安全。 另公司会持续在办公区域与厂区加强同仁危害认知的能力并宣导,营造安全职场文化,让每位同仁都能在安全的职场平安工作。 我们关心员工的健康,并与健检中心合作,员工每年得定期安排时间做身体健康检查。 |
| 社会 | 消费者权益及产品安全 | 在消费者权益面,本公司针对出售之产品提供产品责任险,以保障消费者权益,并于公司网站设置联系沟通管道,直接与利害关系人连络对谈。 |
| 公司治理 | 法令遵循 | 本公司设立专责公司治理单位,定期检视及修订本公司之公司治理守则及相关办法,并订有「防范内线交易之管理程序」,以规范内部重大资讯保密作业程序。 加强宣导不得利用市场上未公开资讯买卖本公司之有价证券。相关办法经本公司内部控制制度落实执行。 |
相关文件
| 文件名称 | 文件链接 |
|---|---|
| 桦汉科技资讯安全风险管理 |  |