資通安全治理情形

一、資訊安全風險管理架構

本公司資訊安全之權責單位為管理部資訊單位,設置資安專責主管一名,專責的資安人員一名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並推展資訊安全意識,定期向經理、董事會報告公司資安治理概況。

本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫及追蹤改善成效,並定期呈報董事會,以降低內部資安風險。組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。

  

二、資訊安全政策

建立安全及可信賴之電腦化作業環境,確保本公司資料、系統、設備及網路安全,以保障公司持運營運、客戶權益及各單位資訊系統之永續運作。

資訊安全管理之範圍

proimages/icon/ai_fill.png人員管理及資訊安全教育訓練。

proimages/icon/ai_fill.png電腦系統安全管理。

proimages/icon/ai_fill.png網路安全管理。

proimages/icon/ai_fill.png系統存取管制。

proimages/icon/ai_fill.png系統發展及維護安全管理。

proimages/icon/ai_fill.png資訊資產安全管理。

proimages/icon/ai_fill.png實體及環境安全管理。

proimages/icon/ai_fill.png資訊系統永續運作計畫管理。

proimages/icon/ai_fill.png資訊安全稽核。 

三、 資訊安全管理措施

近年資安風險頻傳,本公司以嚴謹負責的態度建立一套全方位之防護系統,其範圍包含最低層之員工電腦至最高層之對外網路端點。但由於第三方網路攻擊方式不斷的變化與推陳出新,防護系統並無法保證能永遠不遭受外來之網路攻擊與侵入風險,此風險或能導致公司機密外洩,或遭病毒勒索軟體之騷擾,或干擾公司生產營運造成營業損失。

針對上述風險,本公司採取以下必要之管理措施:

proimages/icon/right_small_fill.png制訂相關資訊安全措施辦法,並全面性追蹤檢討以補既有防護系統之不足。

proimages/icon/right_small_fill.png定期檢視現有資安設備及軟體保持最佳防護狀態。

proimages/icon/right_small_fill.png與專業第三方服務廠商簽訂維護運作合約,定期維護設備及更新防護系統資料。

proimages/icon/right_small_fill.png確實執行系統週期性資料備份作業並兼採異地存放措施,確保資料復原無虞。

proimages/icon/right_small_fill.png定期實施災難復原計畫,透過演練以期縮短風險時間,降低營運損失。

proimages/icon/right_small_fill.png辦理資訊安全教育訓練及宣導,建立員工資訊安全認知。 

四、資通安全管理之資源投入

proimages/icon/right_small_fill.png網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾。

proimages/icon/right_small_fill.png軟體系統如端點防護系統、備份管理軟體等。

proimages/icon/right_small_fill.png投入人力:如每日各系統狀態檢查、定期備份及備份媒體異地存放之執行、每月資安宣導、每年系統災難復原模擬演練、每年對資訊循環之內部稽核、會計師每年例行性稽核及專案審查等。

proimages/icon/right_small_fill.png資安人力:資訊主管一名及資訊工程師一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。