資訊安全風險管理小組

為統一資訊安全管理等事項之協調、規劃、稽核及推動,成立單一獨立之資訊安全風險管理小組。
本公司資訊安全風險管理小組由總管理處長、資訊人員及內部稽核人員共同組成,並定期向董事會報告。

本小組主要權責:

  1. 資訊安全政策及技術規範之研議、建置及評估等事項。
  2. 資料及資訊系統之安全需求研議、管理及保護等事項。
  3. 資訊機密維護及安全稽核等事項。
  4. 其他資訊安全事項之核定。

 

 

 

資訊安全政策及具體管理方案

本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。

  • (一)可用性-Availability:
    確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
  • (二)完整性-Integrity:
    將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
  • (三)機密性-Confidentiality:
    適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。

 

本公司資訊安全遵循標準為ISO27001,惟本公司非依規定需要就資安政策及具體管理方案取得國際認證要求之公司,目前依據本公司風險管理小組辨視的資訊安全風險胃納程度,尚不需針對資安風險進行投保。但秉持資訊安全管理,本公司仍持續強化資安防護與建立聯防計畫,除此之外,並由小組人員每年度持續參與資訊安全管理相關進修課程,以提昇專業職能並掌握關注議題。

 

本公司資訊安全政策包含下列項目:

  • 人員安全管理及教育訓練
  • 電腦系統安全管理
  • 網路安全管理
  • 系統存取控制
  • 系統發展及維護安全管理
  • 資訊資產安全管理
  • 實體及環境安全管理
  • 業務永續運作計畫之規劃與管理

 

面向 相關作業 執行情形
人員安全管理及教育訓練 持續建立、宣導及推廣員工資訊安全認知,以提升資訊安全水準
  1. 公司員工網站不定期公告資訊安全文章。
  2. 不定期使用E-Mail發送資訊安全公告。
  3. 新進同仁一律執行資訊安全宣導。
  4. 公司同仁每年執行資訊安全宣導。
電腦系統安全管理
  • 安全管理
  • 異動管理
  • 使用管理
  • 委外管理
  1. 公司電腦一律安裝商業防毒軟體,且啟動自動更新。
  2. 重要資訊系統異動依照軟體管理進行更新作業。
  3. 軟體異動時同時更新軟體License清單。
  4. 委外廠商管理依據申請單進行維護作業。
網路安全管理
  • 外部連線管理
  • 內部連線管理
  • 資料流通管理
  1. 網際網路連線管理
  2. 無線基地台區分內部及外部不同迴路。
  3. 電子檔案流通提供加密軟體。
系統存取控制
  • 系統存取政策
  • 人員異動管理
  • 人員識別管理
  • 遠端存取管理
  1. 重要系統一律依照授權表進行設定。
  2. 外勤同仁連回公司一律使用VPN軟體經過資訊加密安全通道連線。
系統發展及維護安全管理
  • 系統開發管理
  • 委外廠商管理
  • 委託期間管理
軟體開發專案不論自行開發或委外開發過程均依照軟體專案架構保留文件及執行內容。
資訊資產安全管理
  • 資訊資產目錄
  • 資訊安全等級
  • 資料輸出管理
  1. 軟體清冊保留完整紀錄;硬體資產清冊每年定期盤點。
  2. 定義各資訊檔案之安全等級,並執行分類適切性評估作業。
  3. 資訊安全流程紀錄所有輸出資料規範與內容。
  4. 異地備援
實體及環境安全管理
  • 警衛系統管理
  • 監視系統管理
  • 門禁系統管理
  1. 每年執行資訊安全檢查。
  2. 每年定期審查環境確保符合資訊安全標準。
永續運作計畫
  • 緊急應變措施
  • 永續運作計畫
每年執行災難復原演練確認緊急應變措施。

 

本公司依據所辨識之資訊安全風險擬定管理政策(包含遵循標準、管理及執行),並依據上述政策發展制定具體管理作業加以落實 (包含安全管理作業、防火牆管理、使用者系統權限管理、資料修改申請管理、資訊系統緊急應變、資訊系統檔案備份管理、資訊設備報廢及交接作業管理及電子檔案管理等)並納入內部控制作業,除每季進行資安檢查、每年向董事會報告外,由稽核室每年將資通安全檢查列入每年年度稽核計畫之稽核項目,並向審計委員會及董事會報告資訊安全之風險管理執行情形。