資通安全風險管理
資通安全風險管理架構
- 公司整體資訊安全相關管理辦法與細則之研議與制訂。
- 資訊安全設備之建置、檢查、評估與紀錄。
- 不定期檢查個人資訊設備安全。
- 定期檢查資訊安全控制點。
- 資通安全政策之核定、宣導、檢視。
- 資通安全管理小組成員責任之分配。
- 制定資通風險評估及定期或不定期之資安相關測試。
- 不定期實施資通安全相關教育訓練及宣導。
- 公司機密資訊之維護與稽核。
資通安全管理架構
資通安全政策:
- 為維護公司永續經營發展,加強各據點資訊處理安全,維護公司整體之資料、系統架構、設備、網路之安全維運,達成以下目標:
- 本公司內所有資訊及系統須經授權許可後才可存取,以確保其機密性。
- 本公司內所有資訊及系統避免未經授權之修改,以確保其正確型及完整性。
- 本公司內所有資訊及系統建立備援計畫,以確保可用性。
- 訂定資通安全作業程序,包含核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等。
- 所有使用資訊系統之人員,應接受資訊安全宣導課程,另負責資訊安全之主管及人員,不定期接受資訊安全專業課程訓練。
資訊安全政策目標:
- 落實資安管理,確保永續經營
- 積極預防檢測,有效控制風險
- 持續資安訓練,提升服務品質
投入資通安全管理之資源:
為強化公司內資訊安全管理,確保公司內所有重要資訊之機密性、完整性及可用性,並符合「公開發行公司建立內部控制制度處理準則」相關控制作業。設置成立「資通安全管理小組」由總經理擔任召集人,資訊部為資安專責單位,資訊主管為資安主管,負責資訊安全管理事項之協調及推動,其小組成員包含資訊部、人資行政部門、各單位主管、及稽核人員等,負責推動、協調及督導下列事項,且每年至少一次向董事會報告執行情形:
貫徹資訊安全制度,全員落實執行,持續進行監控、審查及稽核各式資訊系統,確保其機密性、完整性及可用性。定期辦理資安風險評估,就核心業務及核心資通系統鑑別其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等。保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,建構安全網路環境,確保永續經營之目標。
除了平日設備維運外,也隨時偵測系統弱點檢測服務、 Web安全檢測服務。並因應急應變流程而調整設備政策規劃,且針對資安事件分析,定期每季執行檢討,以確保資訊系統失效或重大災害事件發生時,能迅速阻擋控制,確保關鍵性業務持續運作,並將損失風險降至最低。
所有使用資訊系統之人員,應接受資訊安全宣導課程,另負責資訊安全之主管及人員,不定期接受資訊安全專業課程訓練,提高同仁資訊安全意識與智能,加強應變能力,以提升服務品質。
貫徹資訊安全制度,全員落實執行,持續進行監控、審查及稽核各式資訊系統,確保其機密性、完整性及可用性。定期辦理資安風險評估,就核心業務及核心資通系統鑑別其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等。保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,建構安全網路環境,確保永續經營之目標。
除了平日設備維運外,也隨時偵測系統弱點檢測服務、 Web安全檢測服務。並因應急應變流程而調整設備政策規劃,且針對資安事件分析,定期每季執行檢討,以確保資訊系統失效或重大災害事件發生時,能迅速阻擋控制,確保關鍵性業務持續運作,並將損失風險降至最低。
所有使用資訊系統之人員,應接受資訊安全宣導課程,另負責資訊安全之主管及人員,不定期接受資訊安全專業課程訓練,提高同仁資訊安全意識與智能,加強應變能力,以提升服務品質。
各年度董事會報告
各年度董事會報告