華祺工業股份有限公司/RODEX FASTENERS CORP. 投資人服務專區

公司簡介	投資人服務	公司治理專區
			華祺官網
			聯絡我們
			投資人專區

公司治理專區
	董事會
	功能性委員會
	主要股東資訊
	重要內部規章及運作情形
	內部稽核
	股東會及董事會之重要決議
	企業社會責任
	利害關係人專區
	董事會成員及重要管理階層之接班計畫及運作
	風險管理政策
	永續供應鏈管理
	資通安全管理
	推動永續發展執行情形
	各項員工福利措施、退休制度與其實施情形
	公司提供員工安全與健康之工作環境，並對員工定期實施安全與健康教育之情形
	性別平等及多元化
	投入國內文化藝術發展
	高階經理人薪資報酬與ESG相關績效評估連結之政策
	溫室氣體盤查

資通安全管理

（一）資通安全風險管理架構

本公司在民國九十八年成立「企業資訊安全小組」負責執行資訊作業安全管理規劃，建置與維護資訊安全管理體系，統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。企業資訊安全小組由總經理擔任主席，並由資管部經理擔任督導暨資訊安全主管，公司內各單位（包含管理部、財務部、業務部、生產部、品管部、稽核室等）主管均為小組成員。

企業資訊安全委小組透過每半年管理審查會議，審核資安風險分析結果及本公司採取對應的防護措施與方策，確保資訊安全管理體系持續運作的適用性、適切性及有效性。委員會每年向董事會彙報資安管理成效及資安策略方向。

二）資通安全政策

公司的資訊安全政策涵蓋本公司及海內外子公司，是以

一、建立符合法規與客戶需求之資訊安全管理規範。

二、透過全員認知，達成資訊安全人人有責的共識。

三、保護公司與客戶資訊的機密性、完整性與可用性。

四、提供安全的生產環境，確保公司業務之永續營運」為指導準則。並以防毒、防駭、防漏三大資安防護主軸為目標，建立防火牆、入侵偵測、防毒系統及諸多內控系統，以提升公司在防禦外部攻擊以及確保內部機密資訊防護的能力。

本公司已導入並建立完整的資訊安全管理系統（ISMS, Information Security Management System），從系統面、技術面、程序面降低企業資安威脅，建立符合客戶需求的資訊安全保護環境，並不斷地進行「計劃－實施－查核－行動」（PDCA, PlanDo-Check-Act）循環以持續改善。

「計劃階段」著重資安風險管理，為了強化資訊安全，使資訊系統皆能在標準的管理規範下運作，降低因人為疏失所造成的安全漏洞及生產異常，也透過年度的複審作業，不斷持續改善。

「執行階段」建構多層資安防護機制，持續導入新資安風險控管技術，以智慧化／自動化機制提升各類資安事件之偵測及回應處理程序的效率，並強化資訊安全及網路安全保護流程，以維護公司重要資產的防護。

「行動階段」檢討與持續改善，當員工及承商違反資安相關規範及程序時，依據規定進行懲處，並持續進行全員資安教育訓練以提升資安意識。

（三）具體管理方案

為達資安政策與目標，建立全面性的資安防護，推行的管理事項及具體管理方案如下：

● 提升資安防禦能力：定期進行資安系統脆弱度分析及滲透測試，並加以補強與修護，以降低資安風險。建立網路安全事件應變計畫，依事件嚴重度等級進行影響和損失評估，採取對應的通報及復原行動。

● 精進資安管理程序：不斷強化資安防禦能力外，在管理程序及意識認知上也須並重。依據NIST（National Institute of Standards and Technology）標準建立企業資安框架，設置對應的度量指標。員工應遵守資安規定（如嚴格管制行動儲存裝置）、遵循SOP作業，並不斷地進行PDCA循環以持續改善。

● 增進網路、端點及應用安全：提升端點設備的異常偵測及防護能力，包含應用程式白名單（Application Whitelisting）機制與端點偵測與回應（EDR, Endpoint Detection and Response）機制。整體資訊系統網路安全區域優化，增加重要主機特權帳號登入多因子認證防護。

● 風險控制：與國際資安大廠合作，透過其專業服務進行整體資安體檢，以公正第三方驗證之客觀結果，作為進階資安強化的依據。

● 教育訓練：進行全員資安教育訓練與不定期社交工程釣魚郵件測試，以提升資安意識，使資安的運作在高階主管與各部門的支持下，落實到每一位員工身上。

（四）投入資通安全管理之資源

資訊安全已為公司營運重要議題，對應資安管理事項及投入之資源方案如下：

● 專責人力：設有專職之企業組織「企業安全處」，負責公司資訊安全規劃、技術導入與相關的稽核事項，以維護及持續強化資訊安全。

● 客戶滿意：無重大資安事件，無違反客戶資料遺失之投訴案件。

● 教育訓練：所有新進員工到職前皆完成資訊安全教育訓練課程；全體員工皆完成兩次線上資訊安全教育訓練及考核；年度共計執行四次社交工程釣魚郵件測試。

● 113度辦理兩梯次資訊安全教育訓練，4小時「防範網路社交工程認知與技巧」及6小時「資訊安全管理與應用」，經理人及員工共計23人次參與

● 資安公告：製作超過七份資安公告，傳達資安防護重要規定與注意事項。

● 供應鏈：所有新進承商均完成本公司資安規定之教育訓練。