資訊安全風險管理架構
為有效推行資訊安全管理,落實資訊安全政策,於2023年導入ISO 27001:2013資訊安全管理系統,已於2023年11月7日通過英國標準協會台灣分公司(BSI)之驗證,以PDCA (Plan-Do-Check-Act) 之循環持續改善及強化資訊安全之管理與應變。為確保資訊安全管理制度之建置與落實,成立「資訊安全策進小組」,召集人由管理部門副總經理擔任之,負責資訊安全管理事項之審視,審核內、外部稽核結果及資源調度。小組之任務負責制訂資訊安全政策、資訊安全政策推動及審視實施情形、資源調度、事件通報及應變等協調及研議事項: |
|
資訊安全政策
|
1. 確保本公司業務相關資訊之機密性、完整性及可用性,保障資料安全與系統穩定可靠。 | |
2. 符合國家法令與規範,達成業務持續運作之目標。 |
|
1. 制定資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序之管理框架,並符合本公司資訊安全政策。 | |
2. 建立「資訊安全策進小組」及分工權責,推行資訊安全管理運作。 | |
3. 遵循「公開發行公司建立內部控制制度處理準則」等資訊安全管理法規。 | |
4. 資訊安全事件監控、通報及應變,確保盡速回應、控制及處理,降低事件影響範圍。 | |
5. 定期內、外部資訊安全稽核及報告,確保資安管理制度有效及持續改善。 | |
6. 加強資訊安全管理人力之培訓,提升本公司資訊安全管理能力。 | |
7. 提升員工資訊安全意識,降低內部人為因素造成之資安事件發生。 |
資訊安全具體管理方案
項目 | 具體管理方案 | |
---|---|---|
網路安全風險 |
|
|
裝置安全風險 |
|
|
應用程式安全風險 |
|
|
資料安全風險 |
|
|
宣導及檢核 |
|
執行情形
|
取得驗證
本公司通過ISO 27001資訊安全管理系統國際認證,證書有效期間至2025年10月31日。 |