前言
竑盛科技股份有限公司(CTK Pro)以網站設計、系統開發與維運服務為核心業務。在取得 ISO/IEC 27001 認證後,我們全面建立資訊安全管理系統(ISMS),以確保所有營運流程、客戶資料與核心系統的機密性、完整性與可用性,強化企業在雲端環境下的整體安全韌性。
ISMS 核心架構
管理架構與組織
公司依循 ISO/IEC 27001 標準所要求的 PDCA(規劃—執行—檢查—行動)循環建立管理制度,並建構專責的資安治理架構,由管理階層主導政策制定、制度審查與風險管理,確保整體資安策略與營運目標一致。
資訊安全政策與目標
我們的資訊安全政策聚焦於:
- 提升網站設計與開發流程的資料保護與隱私管理能力
- 確保客戶網站在雲端環境中的機密性、可用性與完整性
- 防止惡意攻擊與資料外洩事件
- 強化員工資安意識,降低營運中的資通訊風險
所有政策均定期檢視與更新,以因應科技發展與外部環境變化。
系統運作重點
風險管理與評鑑
CTK Pro 定期執行全公司風險評鑑作業,透過盤點資產、分析威脅與脆弱性、評估影響程度等方式,作為資安控制措施與改善計畫的基礎。所有資訊資產均具備清楚的管理責任與保護等級。
人力資源安全
公司建立完善的人員資安管理制度,包括:
- 在職掌與契約中明訂資安責任
- 定期資安教育訓練
- 完整的到職、異動與離職流程
- 依規範執行違規事件處理
透過制度化管理,降低人為風險。
存取控制與憑證管理
我們採取嚴謹的存取控管政策,包含:
- 完整的帳號申請、異動與註銷流程
- 週期性檢視系統權限
- 辦公環境的清桌面與螢幕淨空規範
- 安全的憑證與密碼管理流程(不公開具體工具與技術)
確保每一項授權均能符合最小權限原則。
作業安全管理
為維持系統運作安全,我們執行:
- 開發、測試與正式環境的隔離管理
- 惡意程式防護與監控機制
- 定期與異地備份策略
- 系統日誌的完整保存與稽核
確保營運過程具有可追溯性與防護能力。
系統開發與維護
CTK Pro 在開發流程中導入資安設計理念,包含:
- 需求變更控管
- 安全程式開發規範
- 上線前安全檢測
- 定期弱點評估與修補
讓安全成為開發生命週期的一部分,而非附加選項。
供應商與雲端服務管理
我們建立了完整的供應商管理制度,包括:
- 評估供應商或雲端服務之資安能力與認證
- 定期審查服務品質與合規性
- 對重大異常採取必要處置
確保外部合作單位亦符合我們的安全要求。
營運持續管理
依據國際標準,我們規劃 RTO、RPO 與 MTPD 等營運持續指標,並每年至少進行一次情境演練,確保遇到突發狀況時能迅速恢復服務,降低對客戶的影響。
資訊安全事件管理
公司具備完整的事件回報與應變程序,包括:
- 明確的通報機制
- 全程紀錄與分析事件
- 定期彙整趨勢並採取改善措施
透過制度化的流程,提升整體事件處理效率與成熟度。
內部稽核與管理審查
我們每年執行內部稽核與管理審查,檢視制度執行情況、績效指標與改善需求,確保 ISMS 在組織內持續有效運作。
教育訓練
公司定期推動資安訓練,包括:
- 資安政策與程序宣導
- 內部稽核相關知識
- 資安意識課程
透過持續教育,強化團隊整體資安文化。
遵循性管理
CTK Pro 定期審查營運過程是否符合:
- 資通安全及相關法規
- 個人資料保護要求
- 智慧財產權規範
並透過制度更新與技術改善,確保持續合規。
結語
CTK Pro 以 ISO/IEC 27001 為核心架構,打造一套兼具制度深度與營運彈性的資訊安全管理系統。透過明確的治理架構、標準化流程、定期稽核與持續改善文化,我們確保所有網站設計、開發與維運服務能在高度安全的環境中執行,為客戶提供值得信賴的專業服務。