企業社會責任

資訊安全管理

資訊安全治理制度

本公司為維護資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability) ,並以打造持續改善的資訊安全環境為目標,於2019年5月成立「資訊安全執行小組」,負責記錄與檢討資訊安全事件與資訊安全事故,並接受稽核室年度資訊循環的督導,以建構出全方位的資安防護機制並提升同仁良好的資安意識。

2020年執行情形: 由行政副總擔任召集人,資訊處處長擔任資安長為會議主席,每年定期召開會議,審查通報紀錄, 檢討資訊安全政策與未來發展發向,並定期向董事會報告資安治理概況,近期向董事會報告日期為2020年11月10日。

資訊安全政策

為確保公司資訊、人員、資產、軟硬體之機密性、合法性、可靠性及完整性,依據公司內部實際需求,制定「資訊安全政策」,提升公司資訊安全風險管理。

資訊安全控管措施:

  • 建立資訊資產清單,依據資安風險評鑑進行分級控管。
  • 所有新進同仁需參與資訊安全教育訓練,提升員工對於資訊安全的認知與觀念,並定期針對資安注意事項進行宣導作業。
  • 公司內外部網路皆設置防火牆,嚴禁同仁私架網路設備串接外部網路或公司內部網路。
  • 機密性主機設置於隔離之網路環境,資料庫及檔案存取,應設立使用權限並定期進行異地備援。
  • 定期進行資訊資產巡檢作業以及系統異常演練,維持系統可靠性。
  • 建立資安事件管理規範及資安事件通報程序。
  • 凡使用公司提供資訊或執行相關資訊業務之所有員工、往來之廠商或訪客,皆有責任與義務保護取得或使用之資訊資產,不得未經授權存取、擅改或不當揭露。
  • 個人電腦應安裝防毒軟體並即時更新病毒碼,建立軟體管理政策並禁止使用未經授權之軟體。
  • 同仁持有公司之帳號、密碼與權限應善盡保管責任,並要求定期更新密碼。
  • 公司全體同仁應遵守法律規範與公司資訊安全政策之要求,主管單位應盡督導之責任,落實制度之推行,強化同仁對資訊安全的認知及法令觀念。

資訊安全事件管理

  • 定義
    1. 資訊安全事件(Information security event):指系統、服務或網路發生違例、失效,或是未可預期的異常現象。
    2. 資訊安全事故(Information security incident):指單一或一連串之資訊安全事件,實際造成損害之事。
  • 資訊安全事件分級
    影響等級由輕至重分「一」、「二」兩個級別,評定資安事件影響等級時,將以該事件於機密性、完整性及可用性三個面向的衝擊程度,綜評該事件影響等級,當影響等級達「二」時列為事故。
    1. 一級事件(符合下列所有情形者,屬一級事件)
      • 非核心業務資料遭洩漏。
      • 非核心業務系統或資料遭竄改。
      • 非核心業務運作遭影響或停頓。
    2. 二級事件(符合下列任一情形者,屬二級事件)
      • 核心業務資料遭洩漏。
      • 核心業務系統或資料遭竄改。
      • 核心業務運作遭影響或停頓。
  • 資訊事件通報
    創見資訊同仁發現或觀察到異常事件,應向資訊處進行通報,宜同時採取下列正確行為,資訊處收到通報後,需通知管理人員進行事件處理並追蹤處理情形。
    1. 立即記錄所有重要細節,例如:故障發生情形、顯示訊息、異常現象等。
    2. 不自己執行任何動作,並立即通報資訊處。
    3. 在任何情況下都不要嘗試去證明可疑的弱點。
  • 資訊事件處置
    1. 若通報事件由資訊人員依實際影響情形判定級別,應填寫「資訊安全通報單」紀錄存查。
    2. 資訊安全事件處理過程中,如發現事件造成影響大於原先判定等級,應立即更正事件分級;資訊安全事件需進行以下作業:
      • 一級事件須於發現資安事件12小時內復原或完成損害管制,二級事件須於發現資安事件24小時內復原或完成損害管制。
      • 資訊安全事件危及人員生命或設備遭到破壞等,涉及民、刑事案件時,應由資訊處通報檢調單位請求處理。
  • 資訊安全事件處理過程中,如發現事件造成影響大於原先判定等級,應立即更正事件分級;資訊安全事件需進行以下作業:
  • 處理資安事故時,由資訊處權責主管負責協調相關單位提供必要資源。

資訊安全具體管理方案

  • 應辨識資安事件根本原因並採取有效對策,依據資安事故分類,研擬改善未來事故處理的方法與程序。
  • 資訊安全執行小組每年依稽核室內部稽核資訊循環要求,提交資安事故統計資訊,以利資訊安全管理制度之持續改善。
  • 重要資訊安全事件處理結果應定期彙整,並在無牽涉個人隱私與業務機密之情況下,可於月報或內部網站公告,描述事件發生原因、過程、處理方式、改善與注意事項建議等,做為資安宣導及資安事件預防之參考資訊。
  • 考量資安險為新興險種,目前公司仍在評估階段。後續公司將持續完善資訊安全系統管理,並且定期進行資安評估,透過反覆演練與不斷檢討改進,強化公司同仁資安危機意識及資安處理人員應變能力,預防資安事件的發生。

您已經同意cookies的設置,但可以隨時撤回您的同意。若您想進一步了解本網站所使用的cookies,請參閱Cookies聲明修改設定

您已經拒絕cookies的設置,但可以隨時再表示同意。若您想進一步了解本網站所使用的cookies,請參閱Cookies聲明修改設定