资通安全管理

1.资通安全风险管理架构

    本公司因应近年外部环境变迁，确保公司具备共识并落实资讯安全的使命，本公司设有资讯安全小组，设置资安长、资讯安全主管及资讯安全专责人员，负责资通安全政策 推动及资源调度事务，并召开例行性资安管理会议，协助管理系统推动小组执行资讯安全事务之分配、协调与督导，负责资通安全各项管理规范持续执行实施。
 

2.资通安全政策

    为有效落实资安管理，确保核心系统管理业务之机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）与适法性（Compliance），本公司评估资讯风险，建立完整的资讯 安全管理系统（Information Security Management System, ISMS)，并持续推动通过国际资安管理系统认证(ISO 27001)，以确认资讯安全管理系统实施状况及是否达成资讯安全目标。

• 加强内部控制，防止未经授权之不当存取，以确保资讯资产受适当的保护
• 适当保护资讯资产之机密性与完整性
• 确保资讯不会在传递过程中，或因无意间的行为透露给未经授权的第三者
• 确保所有资讯安全意外事故或可疑之安全弱点，都应依循适当通报机制向上反应，予以适当调查及处理

 

3.具体管理方案

    近年本公司积极投入预防性防御系统，将资安防御创新技术、资安控管机制整合内化于软硬体维运、研发作业等平日工作流程，以强化资讯安全管理，确保 资料、系统、设备及网路安全，维护公司重要资产的机密性、完整性及可用性。 并落实稽核制度，持续改善，确保资安规范持续有效。

    多层资安防护如网路安全方面进行强化防火墙与网路控管，防止病毒扩散、定期执行电脑扫描及系统与软体更新，确保系统安全性、恶意网站防御、相关资安扫描、 资安监控等；设备安全方面进行安装防毒软体，避免恶意软体破坏、端点防护；资料安全保护方面进行端点资料安全防护系统、建立保护机制；教育训练与宣导方面进行员工资讯安全宣导 、社交工程演练。
 

4.投入资通安全管理之资源

    本公司持续投入资源于资讯安全事务，包含强化资安防御设备，改善资安管理制度与教育训练等，从管理面到技术面整体落实，增进资讯安全能力。

• 定期进行内外部稽核，通过并维持ISO 27001资讯安全验证，以精进资安管理制度运作。
• 每年进行企业持续营运演练至少两次。
• 针对重要资料，均做资料加密控管，并定期备份，确保资讯之机密性、完整性及可用性。
• 每年依公司策略，订定资安目标；每两周定期召开资安会议，确认资安控管机制之落实，并进行资产风险管理，降低资安风险发生的机率与影响；并呈报 于管理系统推动小组会议。
• 新进员工皆完成资安教育训练；全体员工完成两次线上资安训练课程；完成一次社交工程钓鱼邮件测试演练。

 

5.资讯安全目标

• 持续强化改善整体资讯安全管理制度能力。
• 提升资讯安全管理与技术专业能力。
• 健全资讯安全管理制度，使ISO 27001标准验证持续有效。
• 确保ISO 27001之资讯业务续运作，并建立合乎成本效益之业务永续运作计画。
• 年度资讯安全量化目标得经由管理系统推动小组审核。