鹏鼎依客户信息安全管理需求及国际信息安全标准ISO27001制定信息安全管理政策,并于2020年5月8日正式通过BSI英国标准协会认证,每年进行并通过年度审查,2021年深圳、秦皇岛与淮安园区已分别于4月29日、8月26日与8月31日取得外部审查证书,以落实公司信息安全管理的稳健运作,建立安全及可信赖的信息作业环境,保护公司的电子数据、系统、设备及网络安全,进而确保整体信息资产的不可否认性、验证性、可归责性。
鹏鼎以信息安全管理的三大原则「机密性、完整性、可用性」订立《信息安全管理政策》,除了提供集团整体业务持续运作的信息环境,并建置适当的管理制度与标准程序,目的为达成符合相关法规要求,并免于遭受内、外部的蓄意或意外威胁。
鹏鼎于2021年正式成立信息安全管理委员会,委员会隶属董事长,每季召开会议,透过委员会向全公司传达信息安全管理、检视方针与方向,调整信息安全政策与管理,资安委员会主席则由董事长指派总经理担任,为监管集团信息安全工作的最高主管;各处级单位分别指派代表担任委员会成员,负责宣达和落实信息安全政策。
为保护公司及客户商业机密安全,将数据进行分级分类管理,妥善检视并优化公司产品与客户往来信息的管理措施,针对客户机密设立特级安保区,对存取网络、计算机与人员进行权限控管,鹏鼎制定了三大资安重点管理目标:
信息设备安全管理;
网络与防毒管理;
员工信息安全教育训练。
公司针对人员机房、产线和管制区所携带之资讯物品,并对不同单位的网络、电脑、作业系统和应用程序等进行监控管制,并制定《业务连续性作业办法》,对系统分级分类,建立业务连续性管理机制,以确保营运不中断,每半年进行一次备份还原演练,确保事件或灾难发生时快速恢复运作,降低潜在风险、减少事件和灾难带来的损失。2022年度共办理9次备援演练,分别于深圳、淮安、秦皇岛各园区各进行1次主要设备切换与2次备份资料复原测试。
为防范网络攻击与搜集网络态势,公司设置防火墙、入侵防御系统、邮件安全过滤系统、病毒防护系统等安全防护措施,监控组织网络环境及系统安全状况,2022年度平均每月阻挡超过50,000次网络攻击、9,000封恶意邮件,防止恶意行为造成公司损失。同时定期委托外部专业信息安全专家进行渗透测试和社交工程演练等信息安全强化工作,降低人为因素或自然因素的影响对公司营运所造成的冲击,确保永续经营。
2022年资安教育训练课程累计192,180小时、参与课程累计415,024人次。公司特别着重于新进人员的教育训练,以加强信息安全重要性的观念,公司于知识管理平台设有信息安全教育训练课程,所有新进同仁需于规定期限内完成进修。同时每月发布2门资讯安全训练课程,定期对全体员工进行社交工程演练,且在公司月刊专栏刊登资讯安全知识等,传递资安相关规定与观念,持续提升同仁的资安防护意识。公司并于员工手册中,明确就信息安全项目制定奖惩制度:「未经许可,私自安装、改装、拆卸、破坏及搬迁信息处理设备,或私自下载、储存、传播、共享、安装、使用标准配置以外软件(包含绿色软件和免费软件),或私自登录他人计算机者,情节严重者以开除论处」。
当信息安全事件发生时,公司同仁应依据鹏鼎《信息安全事件处理作业办法》,向信息安全部进行通报,资安权责单位并依照该事件进行判定、分类与分级,以立即采取相因应的控制措施,并在最有效的期间内妥善处理该资安事件。
2020年至2022年,鹏鼎皆未违反信息安全相关法规,且未发生任何资讯安全事件,且无因侵犯顾客隐私权或遗失顾客资料而遭顾客投诉情形:
绿色创新
绿色采购
绿色生产
绿色运筹
绿色服务
绿色再生
绿色生活
