資訊安全管理
管理方針與做法
本公司體認資訊安全為企業永續發展重要議題,為確保資訊之機密性、完整性及可用性,特制定資訊安全管理政策,落實防護措施,確保資訊安全。並且於2016年成立「資安暨個資管理委員會」,負責防範外部威脅及內部管理疏失。
資安暨個資管理委員會
委員會以總經理為主任委員,資訊處最高主管為執行秘書,指派公司跨處室之一級主管為資訊安全代表,每年召開資訊安全管理審查會議及資訊安全代表會議。並由資訊處主管每年定期向董事會報告資訊安全執行成果。2022年資訊安全治理報告及執行成果已於11月10日向董事會報告。
資訊安全委員會組織圖
衝擊評估: 「資安暨個資管理委員會」負責審查資訊安全管理系統有關之內部及外部議題的變更、風險評鑑結果及風險處理計畫,並關注持續改善之機會。
權責單位: 「資安暨個資管理委員會」以總經理為主任委員,資訊處處長為資安主管兼執行秘書,指派公司跨處室之一級主管為資訊安全代表,每年召開資訊安全管理審查會議,並由執行秘書定期向董事會報告資訊安全執行成果。
管理政策: 為確保資訊之機密性、完整性及可用性,特制定資訊安全管理政策: 落實防護措施,確保資訊安全。
ISO 27001
資訊安全管理系統證書
管理方案
外部威脅防範工作內容
- 定期執行弱點掃描、系統更新及社交工程攻擊演練,降低駭客入侵。
- 使用防火牆過濾惡意網站及程式。
- 使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
- 更新防毒軟體,防止感染各類病毒。
- 進行軟硬體供應商查核及簽訂「委外廠商人員保密切結書」。
- 加入「台灣CERT/CSIRT聯盟」組織會員,進行資安情資分享與資安事件之通報、應變與協處。
內部管理工作內容
- 加強資安宣導及教育訓練。
- 導入加密系統,針對機密文件加密,防止資料外洩。
- 針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練。
- 定期審查特權帳號及一般帳號,控管帳號。
- 設置系統開發測試環境,減少人為疏失。
- 外部人員必須提出申請,才可使用內部網路資源。
- 收集系統軌跡紀錄,防止他人非法進入系統。
- 隨身碟需註冊後才可在公司電腦使用。
執行成果與具體作為
“2023年無發生任何影響公司營運之資訊安全事件。”
- 「資安暨個資管理委員會」定期召開會議;並由資訊處主管每年定期向董事會報告資訊安全執行成果。最近一次於2023年11月9日向董事會報。
- 於2023年持續通過ISO 27001資訊安全管理系統認證。
