資通安全管理
資訊安全風險管理小組
為統一資訊安全管理等事項之協調、規劃、稽核及推動,成立資訊安全風險管理小組。
本公司資訊安全風險管理小組由管理部主管、資安主管、資安人員共同組成,並設置資安主管一名及資安人員一名。已於113年12月9日向董事會報告113年度資安運作情形。
本小組主要權責:
- 負責制定及修訂資通安全作業程序。
- 協助推動、協調及審查資通安全管理事項,並定期檢討資通安全政策及目標。
- 每季執行資訊安全檢查作業,並每年向董事會報告資安運作情形。
資通安全政策及具體管理方案
本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。
- (一)可用性-Availability:
確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。 - (二)完整性-Integrity:
將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。 - (三)機密性-Confidentiality:
適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。
本公司資訊安全遵循標準為ISO27001,惟本公司非依規定需要就資安政策及具體管理方案取得國際認證要求之公司,目前依據本公司資訊安全風險管理小組辨視的資訊安全風險胃納程度,尚不需針對資安風險進行投保。但秉持資訊安全管理,本公司仍持續強化資安防護與建立聯防計畫,除此之外,並由小組人員每年度持續參與資訊安全管理相關進修課程,以提升專業職能並掌握關注議題。本公司113年度召開資訊安全相關會議共一次。
本公司資訊安全政策包含下列項目:
- 核心業務系統管理
- 資通系統發展及維護安全
- 資通安全防護及控制措施
- 委外服務之安全控管
- 資安風險管理及應變通報程序
- 資通安全之持續精進
| 面向 | 相關作業 | 執行情形 |
|---|---|---|
| 核心業務系統管理 |
|
|
| 資通系統發展及維護安全 |
|
|
| 資通安全防護及控制措施 |
|
|
| 委外服務之安全控管 |
|
|
| 資安風險管理及應變通報程序 |
|
|
| 資通安全之持續精進 |
|
|
資安事件通報程序
本公司資通安全通報程序如下,資安事件之通報與處理,皆需遵照本程序進行。
本公司依據所辨識之資訊安全風險擬定管理政策(包含遵循標準、管理及執行),並依據上述政策發展制定具體管理作業加以落實並納入內部控制作業,除每季進行資安檢查、定期向董事會報告外,由稽核室每年將資通安全檢查列入每年年度稽核計畫之稽核項目,並向審計委員會及董事會報告資訊安全之風險管理執行情形。
