資通安全政策

內容 檔案下載
資通安全政策聲明

程泰資安管理架構

程泰機械依循 ISO27001:2022 制度規範於 2024 年設置資訊安全委員會、資安長與專責人員,其組織架構如圖,並依據企業運作執掌進行權責劃分,進行內部定期性資安政策檢討、向上匯報以及年度績效與發展目標提報董事會

×

資通安全風險與管理

為確保公司永續營運之基礎,掌控企業風險治理管理。程泰機械持續落實強化資訊安全管理,確保資訊的機密性、完整性及可用性,並免於遭受內、外部的蓄意或意外的威脅,程泰機械股份有限公司已於 2025 年導入並取得 ISO27001:2022 認證,依據其管理政策規範區分為:科技運用、人員訓練。管理說明茲闡述如下:

制度規範

  • 程泰機械於 2024 年設置「資訊安全委員會」為統籌企業資訊安全與保護相關策略制定、執行、檢核與改善 ( PDCA ),由總經理、執行副總與資安長進行監督與審查,並劃定權責單位為資訊單位,設置資訊主管乙名,與專業資訊人員數名。
  • 為確保企業客戶、供應商體系、與企業內部數位資料安全、資訊保障與保密措施,落實管控至程泰各地事業單位,同時內部每月定期進行稽核管控與成效匯報。
  • 訂定公司資訊安全管理制度,規範內部各單位人員作業行為。每半年檢視相關制度是否符合營運環境變遷,並依需求適時調整。
  • 接受稽核室之監理督導,透過治理架構向上溝通,回應組織策略要求,持續資安政策推動與落實。

科技運用

程泰機械為防範各種外部資安威脅,近年來,持續積極導入優化資安防禦措施,加入「TWISAC 資安聯盟」、「SP-ISAC 科學園區資安資訊分享與分析中心」等資訊發布共享中心,以獲取最新情資;同時,也建立外部緊急聯絡清單如:中科園區管理局、台中市府消防局、台中市政府警察局、澄清醫院等重要院所機構以面對資訊實體風險第一線通報機關。

  • 外部威脅

    防範外部駭客入侵與電腦病毒威脅,除建置防火牆、防毒 / 防勒索系統等資通安全系統外,亦接受專業資安顧問團隊進行資安評估與弱點掃描,發掘系統潛在弱點與漏洞,並予以修補改善。

  • 權限管理

    採分區分層管理原則管理內部系統與資料之存取權限,人員無法使用非經授權之系統功能與存取非經許可之資料,並遵照權限管理規範,建立權限申請與取消相關流程並每年定期執行權限盤點作業,以確保權限配置妥當與正確。

  • 存取控管

    為強化系統存取控管機制,除透過多層式網路架構管理不同用途之系統、限制外部存取之連線方式外,另配有端點管理、網路行為與告警…等資訊行為監管相關系統,記錄人員的資訊行為歷程,自動偵測異常行為,並自動通報管理人員進行處置。

  • 系統可用性

    為確保內部系統運作之穩定性,和縮短系統異常之服務中斷時間,資訊應用服務與重要之硬體網路設施皆建立相應之備份機制,並且依據系統不同每年進行數次災害還原演練,避免服務中斷造成企業損失。

人員訓練

  • 根據資訊安全執行現況與事件發展,透過教育訓練與資安宣導,提升內部人員資安認知與警覺性。
  • 為確保人員對資安意識抱持敏感度,全體員工皆須定期進行資安相關教育訓練。

投入資源

資訊安全為企業數位化首要條件,對此程泰機械投入相對應資源說明如下:

  • 專責人力投入

    2024 年成立資訊安全委員會,由總經理、執行副總與資安長為首,指派資訊專責主管乙名、管理代表乙名、資通安全處理小組、內部稽核小組,負責制定企業資安規劃,強化數位資料安全。

  • 風險審查與改善

    每年定期進行企業資產風險評鑑,設定資通安全目標、定期進行風險審查並依據其評鑑值進行改善與對策措施建立、加入資訊聯防組織,維持內外資產、資安情報即時性。

  • 第三方驗證通過

    於 2025 年通過 ISO27001 資訊安全認證、委託第三方公證單位進行弱點掃描。

  • 資訊資產管理維護

    核心系統與廠商簽訂年度維護、建立資料主機備援機制、依據風險評鑑分級進行資產維護。

  • 人員意識提升

    全體員工每年進行一次資安教育訓練、核心人員進行 12 小時資安教育訓練及多方位進階資安演練、每年不定期舉行全體員工社交工程演練並通過分數為 80 分。

  • 資訊安全公告

    每年發佈超過 10 份資安公告,用以傳達資安重要性提升個人資安敏感性。

  • 成效總結

    每月向各單位主管進行資安成效總結、每半年進行策略檢核與調整、每一年對董事會報告資安績效與預算審核。
    2025 年度已於 2025.12.23 董事會報告進行資安執行說明、預算說明、未來發展完畢。

個資保護政策與實施情形

個資隱私安全管理政策

本公司重視「客戶隱私權保護」,遵循《個人資料保護法》,訂定「個人資料保護管理辦法」及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護,以及資料的可用性、完整性及保密性。

適用範圍涵蓋所有營運據點、客戶及供應商。針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會提供、出租或以其他變相方式將個資揭露予第三人,且會依循公司所定保護個人隱私的相關規定與措施落實執行,致力維護客戶、員工及供應商的資料安全及隱私權利。日常作業環境中,本公司於硬軟體設施、人員作業等各面向持續更新並落實嚴謹的資安措施,例如導入先進的加密技術加強資料保護、加強釣魚郵件偵測並定期執行員工警覺性測試、演練勒索軟體攻擊、落實隱私與個資保護宣導,維護程泰機械公司及其子公司與各利害關係人重要資產之機密性。

個人資料保護實施情形

針對個資事件,本公司採取「零容忍」原則,如發生個人資料遭侵害事件,權責單位包含資安、法務、管理部門將依個人資料保護法及本公司之事件通報處理程序與相關規範調查處理。如有違反保密義務者,將受相關法律及本公司內部規定之處分 ( 包含但不限於終止合作 )。

本公司持續透過個資盤點、內部資安控管等相關作業辨識各部門業務流程中所涉及個人資料範圍、類別及其潛在風險,並建立保護管控措施並持續執行各項改善方案。為確保同仁皆瞭解個人資料處理時應承擔之責任,本公司於新人入職時,針對新進同仁給予指導,使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。對於負責日常個人資料管理政策遵循之人員瞭解應遵守之法令。

▪ 截至 2025 年 11 月 30 日止,
本公司完成相關個資保護及資訊安全教育訓練,總教育訓練時數約為 300 小時。

重大個資事故

本公司 2025 年無發生重大個資事件亦無違反個資法事件。