一.信息安全目标目标:
本公司信息安全目标为确保核心系统管理业务(即ISO27001验证范围内的信息系统与相关管理活动)的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)与法遵性(Compliance)。并依各阶层与职能定义及量测信息安全绩效的量化指标,以确认信息安全管理系统实施状况及是否达成信息安全目标。
- 机密性:应避免本公司任何敏感信息泄露于互联网。
- 完整性:应确保本公司敏感资料(如:保险资料、个人资料)的正确性、不篡改。
- 可用性:应确保本公司所持有的重要资料确实备份,系统运作不中断。
- 法遵性:应遵循各国相关法律(如:个人资料保护法、营业秘密法、知识产权相关法律),避免本公司或第三方人士权益受侵害。
二.信息安全政策:
【落实信息安全,强化服务品质】;
【加强资安训练,确保持续营运】;
【做好紧急应变,迅速灾害复原】。
三.组织与权责:
为确保信息安全管理系统能有效运作,应明定信息安全组织及权责,以推动及维持各类管理、执行与查核等工作之进行。
- 信息安全组织图
- 实施原则:
信息安全管理系统的实施应依据规划(Plan)、执行(Do)、查核(Check)及持续改善(Action)循环模式,以周而复始、循序渐进的精神,确保信息安全的有效性及持续性。
- 审查与评估
3.1 至少每年评估审查一次,考量法律法规、科技变化、关注方期望、业务活动、内部管理与资源等最新现况,确保信息安全实务作业的有效性。
3.2 应依据审查结果进行修订,并经总经理发布后始生效。
3.3 信息安全政策订定或修订后应以适当方式(例:E-Mail或网站公告或纸本印出)告知利害关系人,如:所属员工、供应商、客户、外部稽核人员等。
具体管理措施
|
网络信息安全控管 |
信息存取控管 |
信息紧急复原应变机制 |
教育宣导及检核 |
|---|---|---|---|
|
|
|
|
本公司于2024年11月12日向董事会报告的资通安全管理2024年度执行情况如下:
已完成建置全集团外寄电子邮件自动备份及审核管理、云端作业环境导入、移动存储设备控管、网络行为纪录与即时通讯记录等措施,以及部分营运据点的主机自动备份及防毒系统更新,未来将持续建置所有营运据点的独立备份网段,自动备份及复原各服务主机数据,并推动文件加密、服务器弱点扫描及异地备援等计划,以严谨态度持续精进信息安全管理,全面强化公司信息防护。为提升员工资安观念,降低资安风险,公司定期进行资安教育及倡导,持续提升维护公司资安防御机制,并通过教育训练加强信息安全的落实,提供更安全且值得信赖的服务。另进行ISO27001认证准备,完成一~四阶文件表单修正及发行包含资安政策、9份程序书、10份SOP、23份表单。
-
信息安全教育倡导方面
(1) 举办信息安全教育训练课程5次。
(2) 每月e-mail倡导资安政策、规范办法、资安意识与防钓鱼网页共计12次。
-
资通安全防护
(1) 執行災難備援備份演練2次。
(2) 4小時內備份復原能力。
投入资通安全之资源:
本公司设有资安长管理公司重视资通安全外,并持续增加资通安全相关的人力布局及资通安全防护架构相关的投资,目前共有6位资安人员,另在2024年度投入资安相关的软硬件费用总计金额约新台币2,779万元,可见本公司对资通安全的重视。