資通安全管理
Information Security
投資人專區
資通安全組織
本公司依據「公開發行公司建立內部控制制度處理準則」及「上市櫃公司資通安全管控指引」,積極推動本公司資通安全政策及資通安全維護作業,設立「資通安全小組」,由高階主管兼任資通安全小組主管及召集人,與持有資通安全專業證照之專業人員,籌組資通安全管理團隊,規劃、執行、稽核及改善資通安全管理作業,定期召開會議檢討資通安全政策及未來發展方向。
資通安全政策
- 遵循資訊安全相關法令,如:資通安全管理法、國家機密保護法、個人資料保護法等規定,並對公司資訊設備提供保護措施,以確保資料的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),以提供本公司業務持續運作環境,使其免於遭受內、外部的蓄意或意外之威脅。
- 設置資通安全防護系統,強化資通設備防護;加入資安威脅情資平台,關注資安議題,減低威脅及資安漏洞影響。
- 定期執行公司同仁資安宣導及資安教育,強化員工資安風險意識。
- 定期評估各種可能危害,對公司核心系統訂定營運業務持續運作計畫,定期辦理核心業務持續運作演練,建立多層次備份機制,以確保公司業務持續運行。
- 持續完善資通安全系統管理,並且定期進行資安評估,透過演練及檢討改進,以強化公司同仁資安危機意識及資安處理人員應變能力,預防資安事件的發生,並建立資通安全事件通報及應變相關辦法。
- 本公司所有人員皆負有維持資通安全之責任,且應遵守公司相關之資通安全管理規範。
資通安全緊急通報程序
當發生資訊安全事件時,依照「資通安全事件處理辦法」規定,發生單位即時通報資訊部,由資安人員判斷事件類型並找出問題點,即時處理並留下紀錄。
個人資料管理政策
本公司秉持落實個人資料保護及管理措施,遵循《個人資料保護法》所述之相關要求及保障個人資料當事人之權利,訂定「個人資料保護管理辦法」,落實個人資料保護政策,明確界定員工之責任與義務,降低任何個人資料檔案受侵害事件可能帶來之衝擊,並持續運作及改善個人資料管理制度,以維護本公司所有個人資料檔案之安全與永續經營。
政策持續
本政策持續每年評估及審查一次,以反映管理政策、相關法令、新型資訊技術及公司業務等之最新發展現況,確保資通安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
資通安全管理方案及執行情況
- 公司訂定有「資通安全管控章程」、「電腦資訊系統及設備使用管理辦法」、「營業秘密保護管理辦法」等管理辦法,提升公司資通安全風險管理。
- 公司每年均編列資通安全相關預算,進行資通軟硬體設備適時升級及更新;採購端點偵測及回應、弱點掃瞄等資安檢測工具,強化企業資訊安全防護能力。
- 公司將持續完善資通安全系統管理,並且定期進行資安評估,透過演練及檢討改進,強化公司同仁資安危機意識及資安處理人員應變能力,預防資安事件的發生,並建立資通安全事件通報及應變相關辦法。
- 定期對同仁進行資通安全教育訓練,並定期進行社交工程演練,以提升員工資安觀念,並不定期針對最新資安情報及注意事項進行宣導作業。每年編列預算汰換個人電腦及相關資訊設備及軟體,減低因過時產品造成資安弱點。
- 公司具有防火牆、防毒軟體、郵件防毒及垃圾郵件過濾等相關端點軟硬體,並定時更新作業系統及病毒碼。端點設備統一由公司網域集中管理,進行政策及權限管理。
- 公司採用多重備份及異地備份機制,並定期執行災難復原演練,確保資訊安全之可用性及完整性。
- 對於核心業務系統定期進行內部及外部資安弱點掃描,檢視資訊安全漏洞並及時修補。
