一.資訊安全目標目標:
本公司資訊安全目標為確保核心系統管理業務(意即ISO27001驗證範圍內之資訊系統與相關管理活動)之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與法遵性(Compliance)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。
- 機密性:應避免本公司任何敏感資訊洩露於網際網路。
- 完整性:應確保本公司敏感資料(如:保險資料、個人資料)之正確性、不竄改。
- 可用性:應確保本公司所持有的重要資料確實備份,系統運作不中斷。
- 法遵性:應遵循我國相關法律(如:個人資料保護法、營業秘密法、智財權相關法律),避免本公司或第三方人士權益受侵害。
二.資訊安全政策:
【落實資訊安全,強化服務品質】;
【加強資安訓練,確保持續營運】;
【做好緊急應變,迅速災害復原】。
三.組織與權責:
為確保資訊安全管理系統能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。
- 資訊安全組織圖
- 實施原則:
資訊安全管理系統之實施應依據規劃(Plan)、執行(Do)、查核(Check)及持續改善(Action)循環模式,以週而復始、循序漸進的精神,確保資訊安全之有效性及持續性
- 審查與評估
3.1 至少每年評估審查一次,考量法令法規、科技變化、關注方期望、業務活動、內部管理與資源等最新現況,確保資訊安全實務作業之有效性。
3.2 應依據審查結果進行修訂,並經總經理發佈後始生效。
3.3 資訊安全政策訂定或修訂後應以適當方式(例:E-Mail或網站公告或紙本印出)告知利害關係人,如:所屬員工、供應商、客戶、外部稽核人員等。
具體管理措施
網路資訊安全控管 |
資訊存取控管 |
資訊緊急復原應變機制 |
教育宣導及檢核 |
---|---|---|---|
|
|
|
|
本公司於112年11月8日向董事會報告之資通安全管理112年度執行情形如下:
已完成建置全集團外寄電子郵件自動備份及審核管理、雲端作業環境導入、移動儲存設備控管、網絡行爲紀錄與實時通訊紀錄等措施,以及部分營運據點之主機自動備份及防毒系統更新,未來將持續建置所有營運據點之獨立備份網段,自動備份及復原各服務主機數據,並推動文件加密、服務器弱點掃描及異地備援等計劃,以嚴謹態度持續精進信息安全管理,全面强化公司信息防護。爲提升員工資安觀念,降低資安風險,公司定期進行資安教育及倡導,持續提升維護公司資安防禦機制,及透過教育訓練加强信息安全的落實,提供更安全且可信賴之服務。
-
資訊安全教育倡導
(1) 舉辦資訊安全教育訓練課程3次。
(2) 每月e-mail倡導資安政策、規範辦法、資安意識與防釣魚網頁共計12次。
-
資通安全防護成效
(1) 系統入侵事件7次,有效阻擋7次。
(2) 外部入侵威脅,有效攔阻防禦率100%。
(3) 辦公設備/主機系統有效防堵病毒威脅944次,中毒感染數0次。
投入資通安全之資源:
本公司設置資安長管理公司注重資通安全外,並持續增加資通安全相關之人力布局及資通安全防護架構相關之投資,目前共有6位資安人員,另在112年度投入資安相關之軟硬體費用總計金額約新台幣2,724萬元,足見本公司對資通安全之重視。