資訊安全政策管理 Information security policy management
- 資訊安全風險管理架構 :
為促進公司資訊安全管理制度執行之有效性,已於 111 年 2 月成立「資訊安全委員會」,並於 2022年7月取得ISO27001認證。本公司資訊部門遵照ISO27001的規範,每年定期或視需要召開會議,審查資訊安全管理相關事宜,以降低資安風險及提升資訊安全意識,有效保護公司及客戶營運資訊與提供良善的資訊安全治理。
- 資訊安全管理組織
為提升公司整體資訊服務管理績效,確保資訊與業務需求之一致性,並有效管理資訊安全工作,設立資訊安全委員會。由管理部副總經理擔任主任委員,執行秘書由資訊部門最高主管擔任,資訊安全委員會之下並設定資安推動小組、內部稽核小組及緊急應變小組 。依照資訊安全策略方針及本公司之營運需求、法令異動、客戶安全需求、技術變遷及可接受風險評鑑等因素,審議與修訂本公司資訊安全政策與規範。
組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。稽核室依照每年年度稽核計畫之資通安全檢查稽核項目進行稽核,並呈報至董事會。
- 投入資通安全管理之資源
對於新興惡意威脅之防護,本公司增強資訊安全相關建設
- 建立網路實體隔離及監管機制,有效防杜外來威脅
- 建置防毒系統及主動防禦告警平台,強化監控已知及未知的資訊安全威脅。
- 建置伺服器備援平台及多重備份系統。
- 持續落實資安教育及案例宣導,列入員工教育訓練必修課程,提升員工資安意識。
5.適時修訂各項風險因子及因應作為,強化公司內部的資訊安全。
- 資訊服務持續營運計畫
為確保資訊服務遭受突發重大災害時,能透過採取正確之應變措施,對業務衝擊降至最低,並於最短時間恢復運作,本公司已制定資訊服務持續管理計劃,每年進行演練與檢討,以保持應變能力與公司持續運作