資訊安全風險管理

  公司治理 > 資訊安全風險管理
資訊安全風險管理架構
為有效推行資訊安全管理,落實資訊安全政策,於2023年導入ISO 27001:2013資訊安全管理系統,已於2023年11月7日通過英國標準協會台灣分公司(BSI)之驗證,以PDCA (Plan-Do-Check-Act) 之循環持續改善及強化資訊安全之管理與應變。為確保資訊安全管理制度之建置與落實,成立「資訊安全策進小組」,召集人由管理部門副總經理擔任之,負責資訊安全管理事項之審視,審核內、外部稽核結果及資源調度。小組之任務負責制訂資訊安全政策、資訊安全政策推動及審視實施情形、資源調度、事件通報及應變等協調及研議事項:

  •  推動資訊安全政策、落實資訊安全應變處理及事件通報。
  •  整體資訊安全措施之協調研議。
  •  跨單位資訊安全事項權責分工之協調及資源調度。
  •  制訂資訊安全政策、規章程序,確保各項管理規範有效,達成政策與目標。
  •  其他重要資訊安全事項之協調研議。
    • 資訊安全政策
  •  資訊安全目標
    • 1. 確保本公司業務相關資訊之機密性、完整性及可用性,保障資料安全與系統穩定可靠。
    2. 符合國家法令與規範,達成業務持續運作之目標。
  •  策略
    • 1. 制定資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序之管理框架,並符合本公司資訊安全政策。
    2. 建立「資訊安全策進小組」及分工權責,推行資訊安全管理運作。
    3. 遵循「公開發行公司建立內部控制制度處理準則」等資訊安全管理法規。
    4. 資訊安全事件監控、通報及應變,確保盡速回應、控制及處理,降低事件影響範圍。
    5. 定期內、外部資訊安全稽核及報告,確保資安管理制度有效及持續改善。
    6. 加強資訊安全管理人力之培訓,提升本公司資訊安全管理能力。
    7. 提升員工資訊安全意識,降低內部人為因素造成之資安事件發生。
    資訊安全具體管理方案
    項目 具體管理方案
    網路安全風險
  •  設置網路防火牆控管連線
  •  啟用入侵偵測防護(IPS)、阻斷服務攻擊(DDoS)保護
  •  啟用網頁信譽評等過濾、應用程式連線管制
  •  使用者上網身份驗證管控
  •  採取VPN連線,導入多因素身分驗證
  •  電子郵件威脅過濾及掃描
  •  每年定期網路資安健診
    		•
    裝置安全風險
  •  佈署電腦資安防護軟體,集中式管控
  •  電腦操作記錄保存、USB儲存裝置管制
  •  設備連線管制
  •  電腦設備定期更新汰換
  •  軟、硬體資產定期盤點
  •  資安事件偵測、監控及處置
    		•
    應用程式安全風險
  •  對外重要系統定期弱點檢測
  •  啟用應用程式防火牆進行防護
  •  系統連線及存取授權管制
  •  定期使用者帳號及授權審查
    		•
    資料安全風險
  •  資料定期備份及異地備份存放
  •  定期災害還原演練
  •  依循「機密維護要點」及「營業祕密管理辦法」
  •  檔案存取授權管制
    		•
    宣導及檢核
  •  每年定期內部、外部資安稽核
  •  定期召開資安管理會議,進行事件檢討及研議改善措施
  •  辦理資訊安全教育訓練,提升員工資安意識
  •  每年定期辦理電子郵件社交工程演練
  •  定期參加集團資安聯防會議
    		•
    執行情形
  •  112年度資訊安全管理審查會議於112年9月23日召開,向資訊安全策進小組召集人報告ISO 27001導入執行情形及查核改善結果。
  •  於112年11月7日通過ISO 27001資訊安全管理系統國際認證。
  •  本公司無重大資安事件導致營業損害之情事。
    • 取得驗證
    本公司通過ISO 27001資訊安全管理系統國際認證,證書有效期間至2025年10月31日。