資訊安全政策

資訊安全管理架構

  • 本公司資訊安全之權責單位為資訊安全部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
  • 本公司已於2021年3月2日,成立「資訊安全管理委員會」,審視公司資訊安全政策與監督資訊安全運作情形。由財務長擔任主席,成立跨部門小組,加強對於資訊安全工作的橫向溝通,以利資訊安全政策的推動與落實,並定期向董事會報告資訊安全執行成果,最近一次對董事會報告日期為2021年11月5日。

「資訊安全管理委員會」組織圖

「資訊安全管理委員會」組織運作模式

採PDCA(Plan-Do-Check-Act)循環式管理,確保目標之達成及持續改善。

資訊安全政策項目與安全具體管理方案

資訊安全政策:

企業的永續經營與運作,資訊系統已是不可缺少的一環。近年來,各國內外大小企業頻傳資訊安全事件,如:相關的勒索軟體、惡意軟體、商業郵件詐騙、惡意網域名稱…等,都對企業造成了鉅大的損失。為此,本公司制定了相關因應的資訊安全政策,確保本公司之營運順利運作,防止資訊或資通系統受侵害,並維護公司資料之完整及機密性。

對資訊安全的管理機制、措施與資訊事件通報程序,敍述如下。

資訊安全管理機制:

本公司資訊安全管理機制,包含以下四個面向:

  • 資訊政策的制定:訂定公司資訊安全作業管理辦法,明確訂定人員對於資訊作業的行為。
  • 資訊科技的運用:建置資訊安全管理設施,並持續提升與汰換軟、硬體資訊設施,以符合當前資安風險控管。
  • 資安宣導與訓練:於公眾集會與信件中,持續對人員進行資訊安全宣導與教育訓練,提昇全體同仁對於資安意識。
  • 資安稽核與改善:本公司稽核部門定時稽核資訊安全部,針對資安與網路風險以風險評估之流程進行風險評估,適切提出控制點建議,資訊安全部依此作調整與改善,並針對評估後之高風險系統進行對應的管理機制,以利控管資安風險。

資訊安全管理措施:

本公司實施之資訊安全管理措施,包含如下,其類別 / 風險說明 / 控制措施詳如下列:
權限管理人員帳號與權限授權管理
  • 人員帳號權限管理與審核
  • 人員帳號權限定期覆核
  • 人員密碼定期更換
存取管控人員存取內/外部資源、及資料傳輸控制
  • 內/外部網路連線與存取管控機制
  • 電腦軟體安裝權限管制
外部威脅病毒入侵防護
  • 主機及電腦弱點偵測/定期掃描/病毒碼定期更新
  • 防火牆入侵偵測/病毒/惡意程式防護
  • 連外網頁安全過濾
系統可用性系統與服務中斷預防
  • 資料本地/異地備份措施,本地/異地機房備援
  • 每年定期災害復原演練
郵件安全管理郵件防護
  • 郵件存取管控結合MFA多重身份認證
  • 郵件病毒防護及惡意程式偵測
  • 郵件惡意連結保護,避免網路釣魚
  • 防垃圾郵件過濾
本公司鑒於資安險為新興保險種類,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效,本公司經評估後,暫緩投保資安險。但為強化應對日新月異的資訊攻擊事件,除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外,對於災害復原演練訂於每年施作,以確保備份機制之正常運作,並能符合系統復原目標。

資安事件通報程序 :

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。