資訊安全管理

資訊安全政策

仲琦為確保資訊資產 ( 與資訊處理相關之硬體、軟體、資料、文件及人員等) 之機密性、完整性、可用性及適法性，並避免遭受內、外部蓄意或意外之威脅，並衡酌本公司之業務需求，遵循ISO 27001 資訊安全國際標準製訂企業資安政策，並於2020 年6 月通過並取得ISO 27001 證書。

資訊安全管理系統 (ISMS)

仲琦考量組織中所有利益相關團體的資訊安全要求與期望後，特成立資訊安全管理系統推行委員會，推動資訊安全管理事項與推展資訊安全意識，並導入 PDCA 管理循環，用以建置資訊安全管理系統(ISMS)，並於過程中因應內部與外在環境的改變，不斷調整管理方向、評估及提出改善方案，以維護建構 ISMS 的有效性，且每年定期向董事會報告執行情形。

委員會依據 ISO 27001：2013 之資訊安全管理架構，建立公司之資訊安全文件，包含資訊安全運作之表單紀錄、作業辦法、程序和政策等，據以制定組織管理、保護資訊資產、和資源分派使用的規章及辦法，階層化管理文件並對應各個資訊安全面向。

資訊風險管理

風險管理則依循 ISO 27001：2013 管理系統要求，引用 ISO 31000 風險管理原則與指導之框架與流程，建立風險管理架構，持續監控主要的風險，以達成風險管理的目標並降低人員、財物、信譽等損失。

資安與網路風險之評估

為妥善保護仲琦資訊安全管理制度內之活動，及落實相關規範並執行風險評鑑程序，透過風險評鑑結果以及內部會議決定風險事項之處理措施，以達到風險能有效降低、移轉、消除。

每年則定期檢視各項法規及評估與修正公司內部的資訊安全規章以確保符合法規及有效性，並宣導同仁相關異動。另除新人入職時進行基本資訊安全相關訓練外，本公司亦定期舉辦電子郵件社交工程演練，對員工進行電子郵件收發等相關資訊安全知識之教育訓練，以降低員工誤點擊惡意郵件之風險，也同時舉行全員資訊安全線上教育課程，以提升同仁資訊安全意識，確保資訊安全觀念能融入日常作業中。

資訊安全治理成效

本公司於 2019年開始導入 ISO 27001資訊安全管理制度（ISMS）標準，並已於 2020年 6月通過 SGS集團驗證，取得 SGS集團核發之 ISO/IEC 27001：2013證書，持續精進資訊安全管理作業，每年定期覆核並通過，以保持證書持續有效；證書3年期滿後於112年4月全面覆核通過，持續取得ISO 27001-2013證書(112~114年)，另因應ISO 27001-2022轉版，擬定於114年進行轉版作業，持續落實資安策略中各面向之執行作業。

藉由 ISO 27001 標準的驗證，達成以下成效：

1. 透過教育訓練與委員會的推動加深凝聚內部資安共識、共同參與及維持資訊管理制度的運作。
   2023年度舉行2次資訊安全教育訓練，「社交工程與資訊安全宣導課程」105小時、「資訊安全-玩命關頭X ~莫淪為待宰的科技羔羊」189小時，上課人數共計98人，總時數294小時。
2. 藉由良好的風險管理辦法，辨識資訊資產、降低營運風險。
3. 於日常作業中落實風險管理，建立可行適用制度，使人員願意遵行，並樂於遵行。
4. 建立一個安全可信賴，且接受國際驗證的資安管理制度，強化客戶的信心。

請參閱ESG報告書-01落實公司治理-1.5資訊安全