資訊安全
資安政策
錼創已依 ISO/IEC 27001 資訊安全管理系統(ISMS)建立完整之風險評鑑與管理機制,訂定明確的風險評鑑標準,定期辨識、分析及評估資訊安全風險,並依評鑑結果採取適當之風險處置措施,以降低潛在衝擊與損害風險。
已制定並落實「風險評鑑與管理程序書」,作為資訊安全風險控管之依據,確保相關控制措施有效執行。同時透過每年內部稽核與管理審查,持續檢視管理制度之適切性與有效性,並依稽核結果進行改善,強化整體資訊安全治理與營運韌性。
資安管理組織
錼創建有資訊安全治理架構,設置「資訊安全管理暨個資委員會」,統籌資訊安全與個人資料保護之政策、計畫及相關管理措施,並每年召開一次管理審查會議,檢視資訊安全管理制度之有效性與持續改善。
委員會下設「資安工作暨個資緊急應變組」及「內部稽核組」,分別負責資訊安全與隱私保護措施之執行、資安事件通報與應變,以及資訊安全與個資管理之內部稽核作業。另指定資安專責人員擔任對內外之聯絡窗口,確保資訊安全與個人資料保護責任之落實。
具體管理方案
每年均透過第三方執行資安評級及弱點掃描,依評估結果修正資訊風險,對同仁進行教育訓練提升安全意識,降低人為風險。
