- 本公司資訊安全之權責單位為資訊安全部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
- 本公司已於2021年3月2日,成立「資訊安全管理委員會」,審視公司資訊安全政策與監督資訊安全運作情形。目前由管理總處執行副總擔任資安委員會主席,成立跨部門小組,加強對於資訊安全工作的橫向溝通,以利資訊安全政策的推動與落實,並定期向董事會報告資訊安全執行成果,最近一次對董事會報告日期為2023年11月6日。
選單
資訊安全管理架構
「資訊安全管理委員會」組織圖
「資訊安全管理委員會」組織運作模式
採PDCA(Plan-Do-Check-Act)循環式管理,確保目標之達成及持續改善。
資訊安全政策項目與安全具體管理方案
資訊安全政策:
企業的永續經營與運作,資訊系統已是不可缺少的一環。近年來,各國內外大小企業頻傳資訊安全事件,如:相關的勒索軟體、惡意軟體、商業郵件詐騙、惡意網域名稱…等,都對企業造成了鉅大的損失。為此,本公司制定了相關因應的資訊安全政策,確保本公司之營運順利運作,防止資訊或資通系統受侵害,並維護公司資料之完整及機密性。
對資訊安全的管理機制、措施與資訊事件通報程序,敍述如下。
資訊安全管理機制:
本公司資訊安全管理機制,包含以下四個面向:
資訊安全管理措施:
| 本公司實施之資訊安全管理措施,包含如下,其類別 / 風險說明 / 控制措施詳如下列: | |
|---|---|
| 權限管理 | 人員帳號與權限授權管理
|
| 存取管控 | 人員存取內/外部資源、及資料傳輸控制
|
| 外部威脅 | 病毒入侵防護
|
| 系統可用性 | 系統與服務中斷預防
|
| 郵件安全管理 | 郵件防護
|
| 本公司鑒於資安險為新興保險種類,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效,目前先將資源投入在提高資安成熟度;降低資安風險。但為強化應對日新月異的資訊攻擊事件,除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外,對於災害復原演練訂於每年施作,以確保備份機制之正常運作,並能符合系統復原目標。 | |
資安事件通報程序 :
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
資訊安全執行情形
2023年度資訊安全執行情形:
