資訊安全風險管理

  公司治理 > 資訊安全風險管理
資訊安全風險管理架構
為有效推行資訊安全管理,落實資訊安全政策,於2023年導入資訊安全管理系統,並在2024年9月22日通過ISO 27001:2022資訊安全管理系統標準認證,以PDCA (Plan-Do-Check-Act) 之循環持續改善及強化資訊安全之管理與應變。為確保資訊安全管理制度之建置與落實,成立「資訊安全策進小組」,召集人由管理部門副總經理擔任之,負責資訊安全管理事項之審視,審核內、外部稽核結果及資源調度。小組之任務負責制訂資訊安全政策、資訊安全政策推動及審視實施情形、資源調度、事件通報及應變等協調及研議事項:

  •  推動資訊安全政策、落實資訊安全應變處理及事件通報。
  •  整體資訊安全措施之協調研議。
  •  跨單位資訊安全事項權責分工之協調及資源調度。
  •  制訂資訊安全政策、規章程序,確保各項管理規範有效,達成政策與目標。
  •  其他重要資訊安全事項之協調研議。
    • 資訊安全政策
  •  資訊安全目標
    • 1. 確保本公司業務相關資訊之機密性、完整性及可用性,保障資料安全與系統穩定可靠。
    2. 符合國家法令與規範,達成業務持續運作之目標。
  •  策略
    • 1. 制定資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序之管理框架,並符合本公司資訊安全政策。
    2. 建立「資訊安全策進小組」及分工權責,推行資訊安全管理運作。
    3. 遵循「公開發行公司建立內部控制制度處理準則」等資訊安全管理法規。
    4. 資訊安全事件監控、通報及應變,確保盡速回應、控制及處理,降低事件影響範圍。
    5. 定期內、外部資訊安全稽核及報告,確保資安管理制度有效及持續改善。
    6. 加強資訊安全管理人力之培訓,提升本公司資訊安全管理能力。
    7. 提升員工資訊安全意識,降低內部人為因素造成之資安事件發生。
    資訊安全具體管理方案
    項目 具體管理方案
    網路安全風險
  •  設置網路防火牆控管連線
  •  啟用入侵偵測防護(IPS)、阻斷服務攻擊(DDoS)保護
  •  啟用網頁信譽評等過濾、應用程式連線管制
  •  使用者上網身份驗證管控
  •  採取VPN連線,導入多因素身分驗證
  •  電子郵件威脅過濾及掃描
  •  每年定期網路資安健診
    		•
    裝置安全風險
  •  佈署電腦資安防護軟體,集中式管控
  •  電腦操作記錄保存、USB儲存裝置管制
  •  設備連線管制
  •  電腦設備定期更新汰換
  •  軟、硬體資產定期盤點
  •  資安事件偵測、監控及處置
    		•
    應用程式安全風險
  •  對外重要系統定期弱點檢測
  •  啟用應用程式防火牆進行防護
  •  系統連線及存取授權管制
  •  定期使用者帳號及授權審查
    		•
    資料安全風險
  •  資料定期備份及異地備份存放
  •  定期災害還原演練
  •  依循「機密維護要點」及「營業祕密管理辦法」
  •  檔案存取授權管制
    		•
    宣導及檢核
  •  每年定期內部、外部資安稽核
  •  定期召開資安管理會議,進行事件檢討及研議改善措施
  •  辦理資訊安全教育訓練,提升員工資安意識
  •  每年定期辦理電子郵件社交工程演練
  •  定期參加集團資安聯防會議
    		•
    執行情形
  •  113年度資訊安全管理審查會議於2024年8月29日召開,向資訊安全策進小組召集人報告資訊安全管理系統執行情形及查核改善結果。
  •  於2024年9月22日通過ISO 27001:2022資訊安全管理系統轉版認證。
  •  本公司無重大資安事件導致營業損害之情事。
    • 取得驗證
    本公司通過ISO 27001資訊安全管理系統國際認證,證書有效期間至2026年11月6日。