資通安全管理
資通安全治理制度
本公司為維護資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability) ,並以打造持續改善的資通安全環境為目標,於2019年5月成立「資通安全執行小組」,負責記錄與檢討資通安全事件與資通安全事故,並接受稽核室年度資訊循環的督導,以建構出全方位的資安防護機制並提升同仁良好的資安意識。
2023年執行情形: 由行政副總兼任資訊主管擔任召集人,每年定期召開會議,審查通報紀錄, 檢討資通安全政策與未來發展方向,並定期向董事會報告資安治理概況,近期向董事會報告日期為2023年11月06日。
資通安全政策
為確保公司資訊、人員、資產、軟硬體之機密性、合法性、可靠性及完整性,依據公司內部實際需求,制定「資通安全政策」,提升公司資通安全風險管理。
資通安全控管措施:
- 建立資訊資產清單,依據資安風險評鑑進行分級控管。
- 所有新進同仁需參與資通安全教育訓練,提升員工對於資通安全的認知與觀念,並定期針對資安注意事項進行宣導作業。
- 公司內外部網路皆設置防火牆,嚴禁同仁私架網路設備串接外部網路或公司內部網路。
- 機密性主機設置於隔離之網路環境,資料庫及檔案存取,應設立使用權限並定期進行異地備份。
- 定期進行資訊資產巡檢作業以及系統異常演練,維持系統可靠性。
- 建立資安事件管理規範及資安事件通報程序。
- 凡使用公司提供資訊或執行相關資訊業務之所有員工、往來之廠商或訪客,皆有責任與義務保護取得或使用之資訊資產,不得未經授權存取、擅改或不當揭露。
- 個人電腦應安裝防毒軟體並即時更新病毒碼,建立軟體管理政策並禁止使用未經授權之軟體。
- 同仁持有公司之帳號、密碼與權限應善盡保管責任,並要求定期更新密碼。
- 公司全體同仁應遵守法律規範與公司資通安全政策之要求,主管單位應盡督導之責任,落實制度之推行,強化同仁對資通安全的認知及法令觀念。
資通安全事件管理
資通安全具體管理方案
- 應辨識資安事件根本原因並採取有效對策,依據資安事故分類,研擬改善未來事故處理的方法與程序。
- 資通安全執行小組每年依稽核室內部稽核資訊循環要求,提交資安事故統計資訊,以利資通安全管理制度之持續改善。
- 重要資通安全事件處理結果應定期彙整,並在無牽涉個人隱私與業務機密之情況下,可於月報或內部網站公告,描述事件發生原因、過程、處理方式、改善與注意事項建議等,做為資安宣導及資安事件預防之參考資訊。
- 考量資安險為新興險種,目前公司仍在評估階段。後續公司將持續完善資通安全系統管理,並且定期進行資安評估,透過反覆演練與不斷檢討改進,強化公司同仁資安危機意識及資安處理人員應變能力,預防資安事件的發生。
投入資通安全管理之資源
- 端點軟硬體設備如防火牆、電腦防毒、郵件防毒、垃圾郵件過濾、網管型網路設備等。
- 軟體系統如異地備份軟體、VPN連線認證等。
- 電信服務如多重線路、入侵防護服務、分公司點對點VPN信任等。
- 投入人力如: 每日各系統狀態檢查、設備異常發信通知、每周定期備份、每年至少一次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
- 資安人力: 資安主管一名及資安人員兩名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,資安主管每年向董事會至少報告一次。