為統一資訊安全管理等事項之協調、規劃、稽核及推動,成立單一獨立之資訊安全風險管理小組。
本公司資訊安全風險管理小組由總管理處長、資訊人員及內部稽核人員共同組成,並定期檢討資安政策。
本小組主要權責:
本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。
本公司資訊安全遵循標準為ISO27001,惟本公司非依規定需要就資安政策及具體管理方案取得國際認證要求之公司,目前依據本公司風險管理小組辨視的資訊安全風險胃納程度,尚不需針對資安風險進行投保。但秉持資訊安全管理,本公司仍持續強化資安防護與建立聯防計畫,除此之外,並由小組人員每年度持續參與資訊安全管理相關進修課程,以提昇專業職能並掌握關注議題。
本公司資訊安全政策包含下列項目:
面向 | 相關作業 | 執行情形 |
---|---|---|
人員安全管理及教育訓練 | 持續建立、宣導及推廣員工資訊安全認知,以提升資訊安全水準 |
|
電腦系統安全管理 |
|
|
網路安全管理 |
|
|
系統存取控制 |
|
|
系統發展及維護安全管理 |
|
軟體開發專案不論自行開發或委外開發過程均依照軟體專案架構保留文件及執行內容。 |
資訊資產安全管理 |
|
|
實體及環境安全管理 |
|
|
永續運作計畫 |
|
每年執行災難復原演練確認緊急應變措施。 |
本公司依據所辨識之資訊安全風險擬定管理政策(包含遵循標準、管理及執行),並依據上述政策發展制定具體管理作業加以落實 (包含安全管理作業、防火牆管理、使用者系統權限管理、資料修改申請管理、資訊系統緊急應變、資訊系統檔案備份管理、資訊設備報廢及交接作業管理及電子檔案管理等)並納入內部控制作業,除每季進行資安檢查、每年向董事會報告外,由稽核室每年將資通安全檢查列入每年年度稽核計畫之稽核項目,並向審計委員會及董事會報告資訊安全之風險管理執行情形。