鵬鼎依客戶信息安全管理需求及國際信息安全標準ISO27001制定信息安全管理政策��,并于2020年5月8日正式通過BSI英國標準協會認證�����,每年進行并通過年度審查��,2021年深圳���、秦皇島與淮安園區已分別于4月29日��、8月26日與8月31日取得外部審查證書�����,以落實公司信息安全管理的穩健運作��,建立安全及可信賴的信息作業環境�����,保護公司的電子數據��、系統�����、設備及網絡安全�,進而確保整體信息資產的不可否認性�、驗證性�、可歸責性�。
信息安全政策��、組織與目標
鵬鼎以信息安全管理的三大原則「機密性��、完整性�����、可用性」訂立《信息安全管理政策》�,除了提供集團整體業務持續運作的信息環境�,并建置適當的管理制度與標準程序���,目的為達成符合相關法規要求�,并免于遭受內��、外部的蓄意或意外威脅���。
鵬鼎于2021年正式成立信息安全管理委員會���,委員會隸屬董事長���,每季召開會議��,透過委員會向全公司傳達信息安全管理���、檢視方針與方向�,調整信息安全政策與管理�,資安委員會主席則由董事長指派總經理擔任��,為監管集團信息安全工作的最高主管�;各處級單位分別指派代表擔任委員會成員�����,負責宣達和落實信息安全政策��。
為保護公司及客戶商業機密安全���,將數據進行分級分類管理�����,妥善檢視并優化公司產品與客戶往來信息的管理措施�����,針對客戶機密設立特級安保區�����,對存取網絡�����、計算機與人員進行權限控管���,鵬鼎制定了三大資安重點管理目標:
信息設備安全管理�;
網絡與防毒管理���;
員工信息安全教育訓練���。
資安落實與防護
信息設備安全管理
公司管制人員進出機房�、產線和管制區所攜帶之信息物品�����,并對不同單位之網絡�����、計算機��、操作系統和應用程序等進行權限區分控管���。已制定《業務連續性作業辦法》�����,對系統分級分類��,建立業務連續性管理機制�����,以確保營運不中斷�,并每半年進行一次備份還原演練���,確保事件或災難發生時快速恢復運作���,降低潛在風險���、減少事件和災難帶來的損失���。2021年度共辦理9次備援演練���,分別于深圳�、淮安��、秦皇島各園區進行3次演練�����,包含1次主要設備切換與2次備份資料復原測試���。
網絡與防毒管理
為防范網絡攻擊與搜集網絡態勢�����,公司設置防火墻�、入侵防御系統�����、郵件安全過濾系統�、病毒防護系統等安全防護措施���,2021年度平均每月阻擋超過77,000個網絡攻擊�����、3,000封惡意郵件��,防止惡意行為造成公司損失���。同時定期委托外部專業信息安全專家進行滲透測試和社交工程演練等信息安全強化工作���,及時修補漏洞��,建立安全作業環境�,確保永續經營���。
信息安全教育訓練
公司特別著重于新進人員的教育訓練�����,以加強信息安全重要性的觀念���,公司于知識管理平臺設有信息安全教育訓練課程�,所有新進同仁需于規定期限內完成進修��。公司并于員工手冊中�,明確就信息安全項目上制定獎懲制度:「未經許可�,私自安裝�、改裝�����、拆卸��、破壞及搬遷信息處理設備��,或私自下載�����、儲存�����、傳播���、共享�����、安裝�、使用標準配置以外軟件(包含綠色軟件和免費軟件)�,或私自登錄他人計算機者�,情節嚴重者以開除論處」�。此外���,公司定期對全體員工進行社交工程演練��,并通過多元管道���,包括設立大型電子看版播放倡導影片�����、廠區內張貼信息安全海報以及在公司月刊專欄刊載信息安全知識等�����,傳遞資安相關規定與觀念�����,持續提升同仁的資安防護意識�����。
資安事件通報流程
當信息安全事件發生時�����,公司同仁應依據鵬鼎《信息安全事件處理作業辦法》���,向信息安全部進行通報��,資安權責單位并依照該事件進行判定�、分類與分級�,以立即采取相因應的控制措施��,并在最有效的期間內妥善處理該資安事件��。
2019年至2021年���,鵬鼎皆未違反信息安全相關法規�����,且未發生任何信息安全事件或因侵犯顧客隱私權或遺失顧客資料而遭顧客投訴情形:
