管理架构
为强化本公司之信息安全管理、确保数据、系统及网络安全,设立信息安全管理委员会,委员会由总经理为召集人,由信息部负责统筹并执行信息安全政策,倡导信息安全讯息,提升员工资安意识,搜集及改进组织信息安全管理系统绩效及有效性之技术、产品或程序等,并至少每年一次向董事会报告。
信息安全政策
- 建立信息资产监控及管控机制,所有人员均有责任及义务保护其所负责之相关信息资产,以确保本公司重要信息资产之机密性、正确性及可用性。
- 员工之工作职掌应作适当区隔,并仅授予完成工作所需之必要权限与必要信息。
- 人员录用应进行必要之考核并签署相关作业规范,以了解维护保证信息安全为每位人员之义务,落实于日常工作中。
- 建立业务持续运作管理机制,以维持其适用性。
- 本公司信息安全措施,应符合法律之规范与本公司信息安全政策之要求;所有信息安全规范或程序之建置及修改,须符合并遵循信息安全管理制度之机制。
- 确保内部数据的保护及保存正确与安全,以防止人为意图不当与不法情形。
- 当信息安全事件发生导致权益受损时,进行及时并适当地响应与处理。
具体管理措施
|
网络信息安全控管 |
信息存取控管 |
信息紧急复原应变机制 |
教育倡导及检核 |
|---|---|---|---|
|
|
|
|
本公司于112年11月8日向董事会报告之资通安全管理112年度执行情形如下:
已完成建置全集团外寄电子邮件自动备份及审核管理、云端作业环境导入、移动储存设备控管、网络行为纪录与实时通讯纪录等措施,以及部分营运据点之主机自动备份及防毒系统更新,未来将持续建置所有营运据点之独立备份网段,自动备份及复原各服务主机数据,并推动文件加密、服务器弱点扫描及异地备援等计划,以严谨态度持续精进信息安全管理,全面强化公司信息防护。为提升员工资安观念,降低资安风险,公司定期进行资安教育及倡导,持续提升维护公司资安防御机制,及透过教育训练加强信息安全的落实,提供更安全且可信赖之服务。
-
资讯安全教育倡导
(1) 举办资讯安全教育训练课程3次。
(2) 每月e-mail倡导资安政策、规范办法、资安意识与防钓鱼网页共计12次。
-
资通安全防护成效
(1) 系统入侵事件7次,有效阻挡7次。
(2) 外部入侵威胁,有效拦阻防御率100%。
(3) 办公设备/主机系统有效防堵病毒威胁944次,中毒感染数0次。
投入资通安全之资源:
本公司设置资安长管理公司注重资通安全外,并持续增加资通安全相关之人力布局及资通安全防护架构相关之投资,目前共有6位资安人员,另在112年度投入资安相关之软硬件费用总计金额约新台币2,724万元,足见本公司对资通安全之重视。