资讯安全政策管理 Information security policy management
- 资讯安全风险管理架构
为因应科技环境迅速变迁及业务多元化发展、有效保护公司及客户营运资讯与提供良善的资讯安全治理,以保护公司与相关之利害关系人之资讯资产之安全,本公司于2022年设立资讯安全委员会,推行ISO27001资讯安全标准规范,并取得相关资讯安全之国际认证。
- 资讯安全管理组织
为提升公司整体资讯服务管理绩效,确保资讯与业务需求之一致性,并有效管理资讯安全工作,设立资讯安全委员会。由管理部副总经理担任主任委员,执行秘书由资讯部门最高主管担任,资讯安全委员会之下并设定资安推动小组、内部稽核小组及紧急应变小组 。依照资讯安全策略方针及本公司之营运需求、法令异动、客户安全需求、技术变迁及可接受风险评鉴等因素,审议与修订本公司资讯安全政策与规范。
组织运作模式-采 PDCA(Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。稽核室依照每年年度稽核计画之资通安全检查稽核项目进行稽核,并呈报至董事会。
- 资讯安全政策
1.成立资讯安全管理组织负责资讯安全制度之建立及推动事宜。
2.定期实施资讯安全教育训练,宣导资讯安全政策及相关实施规定。
3.建立主机及网路使用之管理机制,以统筹分配、运用资源。
4.新设备建置前,须将风险、安全因素纳入考量,防范危害系统安全之情况 发生。
5.建立资讯机房实体及环境安全防护措施,并定期施以相关保养。
6.明确规范网路系统之使用权限,防止未经授权之存取动作。
7.订定资讯安全管理系统内部稽核计画,定期检视资讯安全管理系统范围内所有人员及设备使用情形,依稽核报告拟订及执行矫正预防措施。
8.订定营运持续管理规定并实际演练,确保本课业务持续运作。
9.维持资讯安全,遵守相关之资讯安全管理规范。
10.资讯安全管理系统文件应有明确之管理规范。
- 投入资通安全管理之资源
对于新兴恶意威胁之防护,本公司增强资讯安全相关建设
- 建立网路实体隔离及监管机制,有效防杜外来威胁
2.建置防毒系统及主动防御告警平台,强化监控已知及未知的资讯安全威胁。
3.建置伺服器备援平台及多重备份系统。
4.持续落实资安教育及案例宣导,列入员工教育训练必修课程,提升员工资安意识。
5.适时修订各项风险因子及因应作为,强化公司内部的资讯安全。
6.各项资安会议召开、资讯安全教育训练、资安演练:
2023年已召开资讯安全管理审查会议2次,资安风险评鉴会议3次,资讯安全内部稽核计画会议1次,资安月报与季报会议16次,全厂社交工程演练1次,全厂资安案例宣导与训练8次。
- 本公司2023年投入资讯安全相关费用金额为新台币5,453千元。
- 资讯服务持续营运计画
为确保资讯服务遭受突发重大灾害时,能透过采取正确之应变措施,对业务冲击降至最低,并于最短时间恢复运作,本公司已制定资讯服务持续管理计划,每年进行演练与检讨,以保持应变能力与公司持续运作。