治理營運
政策
資通安全風險管理架構
本公司資訊安全之權責單位為資訊部,設置資訊主管一名,及專業資訊工程師數名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。
每年會計師進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
資通安全政策及管理方案
本公司整合各層級部門資通安全目標,建立本公司整體資通安全政策目標如下:
一、 保護本公司業務活動資訊,避免未經授權存取,確保機密性。
二、 保護本公司業務活動資訊,避免未經授權修改,確保正確完整性。
三、 建立資訊業務永續運作計畫,維持本公司業務持續運作,確保可用性。
四、 本公司之業務執行符合相關法規之要求,確保法規遵循性。
管理
為達成上述目標,本公司資訊安全政策涵蓋10項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司帶來各種可能之風險及危害。具體管理方案如下:
一、資通安全政策之制定及評估
公司各項資訊安全管理規定定期檢視以遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
二、資訊安全組織之職責與分工
設有資訊安全管理組織負責資訊安全制度之建立及推動事宜
三、人力資源安全
定期實施資通安全教育訓練,宣導資訊安全政策及相關實施規定。
四、資訊資產管理
具有完整主機及網路使用之管理機制,可統籌分配、運用資源。
五、存取控制
網路系統之使用權限均有嚴格權限設定,防止未經授權之存取動作
六、密碼措施
嚴格要求員工帳號、密碼與權限應善盡保管與使用責任,並以系統設定要求定期換置密碼。
七、實體與環境安全
重要資訊系統或設備已建置適當的備份、備援或監控機制並定期演練,以維持其可用性。
八、作業安全
電腦設備安裝偵測病毒與防止惡性程式攻擊之軟體,並禁止使用未經授權軟體。
九、通訊安全
定時監控公司資訊設備各連線確認是否異常及外部服務連線狀況。
十、資訊系統獲取、開發及維護
對內部及外部專案管理的過程中,明訂及陳述與專案相關之各項資訊安全要求,並由風險評鑑之結果用以決定及實作資訊安全控制措施。
年度執行情形
投入資通安全管理之資源
為實踐四項資通安全政策目標,投入之資源如下:
一、救援機制
建構異地備援機房與主要系統快速回復機制,並持續透過防火牆持續更新與網域分隔進行風險控管。
二、資料備份
採用備份管理軟體、VPN認證及加密軟體等確保資料備份即時性與完整性。
三、專線連線
主要外據點採取專線連線,並透過國際知名雲端服務商提供郵件與網站服務降低入侵風險。
四、資安人力
資安主管一名及資安人員兩名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
