资讯安全政策管理 Information security policy management
- 资讯安全风险管理架构
为促进公司资讯安全管理制度执行之有效性,已于 111 年 2 月成立「资讯安全委员会」,并于 2022年7月取得ISO 27001认证。本公司资讯部门遵照ISO 27001的规范,每年定期或视需要召开会议,审查资讯安全管理相关事宜,以降低资安风险及提升资讯安全意识,有效保护公司及客户营运资讯与提供良善的资讯安全治理。
- 资讯安全管理组织
为提升公司整体资讯服务管理绩效,确保资讯与业务需求之一致性,并有效管理资讯安全工作,设立资讯安全委员会。由管理部副总经理担任主任委员,执行秘书由资讯部门最高主管担任,资讯安全委员会之下并设定资安推动小组、内部稽核小组及紧急应变小组 。依照资讯安全策略方针及本公司之营运需求、法令异动、客户安全需求、技术变迁及可接受风险评鉴等因素,审议与修订本公司资讯安全政策与规范。
组织运作模式-采 PDCA(Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。稽核室依照每年年度稽核计画之资通安全检查稽核项目进行稽核,并呈报至董事会。
- 投入资通安全管理之资源
对于新兴恶意威胁之防护,本公司增强资讯安全相关建设。
- 建立网路实体隔离及监管机制,有效防杜外来威胁。
- 建置防毒系统及主动防御告警平台,强化监控已知及未知的资讯安全威胁。
- 建置伺服器备援平台及多重备份系统。
- 持续落实资安教育及案例宣导,列入员工教育训练必修课程,提升员工资安意识。
5.适时修订各项风险因子及因应作为,强化公司内部的资讯安全续运作。
- 资讯服务持续营运计画
为确保资讯服务遭受突发重大灾害时,能透过采取正确之应变措施,对业务冲击降至最低,并于最短时间恢复运作,本公司已制定资讯服务持续管理计划,每年进行演练与检讨,以保持应变能力与公司持续运作。