資通安全管理

1.資通安全風險管理架構

    本公司因應近年外部環境變遷，確保公司具備共識並落實資訊安全的使命，本公司設有資訊安全小組，設置資安長、資訊安全主管及資訊安全專責人員，負責資通安全政策推動及資源調度事務，並召開例行性資安管理會議，協助管理系統推動小組執行資訊安全事務之分配、協調與督導，負責資通安全各項管理規範持續執行實施。
 

2.資通安全政策

    為有效落實資安管理，確保核心系統管理業務之機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）與適法性（Compliance），本公司評估資訊風險，建立完整的 資 訊 安 全 管 理 系 統（Information Security Management System, ISMS)，並持續推動通過國際資安管理系統認證(ISO 27001)，以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

• 加強內部控制，防止未經授權之不當存取，以確保資訊資產受適當的保護
• 適當保護資訊資產之機密性與完整性
• 確保資訊不會在傳遞過程中，或因無意間的行為透露給未經授權的第三者
• 確保所有資訊安全意外事故或可疑之安全弱點，都應依循適當通報機制向上反應，予以適當調查及處理

 

3.具體管理方案

    近年本公司積極投入預防性防禦系統，將資安防禦創新技術、資安控管機制整合內化於軟硬體維運、研發作業等平日工作流程，以強化資訊安全管理，確保資料、系統、設備及網路安全，維護公司重要資產的機密性、完整性及可用性。並落實稽核制度，持續改善，確保資安規範持續有效。

    多層資安防護如網路安全方面進行強化防火牆與網路控管，防止病毒擴散、定期執行電腦掃描及系統與軟體更新，確保系統安全性、惡意網站防禦、相關資安掃描、資安監控等；設備安全方面進行安裝防毒軟體，避免惡意軟體破壞、端點防護；資料安全保護方面進行端點資料安全防護系統、建立保護機制；教育訓練與宣導方面進行員工資訊安全宣導、社交工程演練。
 

4.投入資通安全管理之資源

    本公司持續投入資源於資訊安全事務，包含強化資安防禦設備，改善資安管理制度與教育訓練等，從管理面到技術面整體落實，增進資訊安全能力。

• 定期進行內外部稽核，通過並維持ISO 27001資訊安全驗證，以精進資安管理制度運作。
• 每年進行企業持續營運演練至少兩次。
• 針對重要資料，均做資料加密控管，並定期備份，確保資訊之機密性、完整性及可用性。
• 每年依公司策略，訂定資安目標；每兩週定期召開資安會議，確認資安控管機制之落實，並進行資產風險管理，降低資安風險發生的機率與影響；並呈報於管理系統推動小組會議。
• 新進員工皆完成資安教育訓練；全體員工完成兩次線上資安訓練課程；完成一次社交工程釣魚郵件測試演練。

 

5.資訊安全目標

• 持續強化改善整體資訊安全管理制度能力。
• 提昇資訊安全管理與技術專業能力。
• 健全資訊安全管理制度，使ISO 27001標準驗證持續有效。
• 確保ISO 27001之資訊業務續運作，並建立合乎成本效益之業務永續運作計畫。
• 年度資訊安全量化目標得經由管理系統推動小組審核。