CPC為追求高效率營運與高正確性作業品質,因此採以高度資訊化之營運,無論內部營運流程表單或客戶資料,皆運用系統化作業與資料保存,因此完善資訊安全與個人資料管理係攸關能否高效及合法之持續運營;又2019年開始導入ISO 27001資訊安全管理系統作業程序,且於2021年3月取得驗證,藉由不斷地定期複查與維護,持續改善內部管理。
2023年ISO 27001內稽合核人員共計為15位。
資通安全政策
依據27001:2022標準之步驟逐步建立資訊安全管理系統,且持續維持有效。
維護資訊資產的機密性、完整性、可用性及法律遵循性,以提供資通訊作業安全及穩定之運作。
為貫徹資訊安全並持續改善,將每年依實際需求適時檢討修訂可衡量的目標,藉由各級主管宣導,加強員工的了解,並配合本系統的有效運作落實於日常工作中。
落實稽核執行及管理審查流程,以達資訊安全管理制度之持續改善。
資訊管理推動委員會
自2021年成立「資訊管理推動委員會」,每年召開2次委員會會議,任務執行單位於會議中提出年度工作規劃,並於每年7月及年度期末進行執行業務成果檢討報告。同時自2022年開始每年進行全區ISO 27001內部稽核作業,並召開管理審查會議,檢討全區內部稽核改善結果、C級特定非公務機關應辦事項辦理進度、重點資訊項目說明 、討論事項及臨時動議等。
除持續定期運作外,由稽核室例為每年稽核重點項目,冀及早發現異常與降低風險,此乃是組織持續營運與重要資料避免外洩之關鍵。
ISO27001:2022驗證證書
2023年通過定期複查換證ISO/IEC 27001:2017-ISO/IEC 27001:2013+COR 1:2014+ COR 2:2015版本驗證並獲得證書。
資訊安全管理宣導課程
- 依據行政院資通安全管理法資通安全責任等級C級特定非公務機關應辦事項之規定辦理課程。
- CPC資訊系統幾乎均為自主開發,為增強員工資訊系統開發的安全概念,2023年度辦理安全開發與弱點修補實務線上課程。
- 提升資訊人員之專業職能,2023年度辦理資通安全專業訓練課程,依規定兩年辦理一次。
- 因應ISO 27001:2013轉版2022,進行2022版本之教育訓練。
- 為確認員工資訊安全意識落實的情形,2023年度起每年實施社交工程演練。