資訊安全管理
本公司為確保資訊資產(與資訊處理相關之硬體、軟體、資料、文件及人員等)之機密性、完整性、可用性及適法性,避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,並參考ISO 27001資訊安全國際標準製訂企業資安政策。
資訊安全控制措施涵蓋:
成立資訊安全管理組織,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
公司內部流程之資訊安全之評估及管理。
公司全體員工之資訊安全意識增強與權責分工。
外部廠商須遵循之資訊安全要求。
資訊安全指標之制定。
資訊作業持續運作計畫及演練作業。
資訊安全事件與應對處理。
法律法規遵循性。
2.資安與網路風險之評估
為妥善保護本公司資訊安全管理體系內之資訊資產,對於資訊資產訂定及落實相關規範並執行風險評鑑程序,以確認資訊資產的風險水準,透過風險評鑑結果以及內部會議決定風險事項之處理措施,以達到風險能有效降低、移轉、消除甚至接受該風險。
每年會檢視各項法規及評估公司內部的資訊安全規章以確保符合法規及有效性,並定期宣導相關資安規章,避免同仁違反內部規範造成公司損害。
在供應鏈環境,要求與第三方服務廠商簽訂合約,有要求其遵守保密及網路安全規定。
另新人入職時進行基本資訊安全相關訓練外,本公司亦定期舉辦電子郵件社交工程演練,對員工進行電子郵件收發等相關資訊安全知識之教育訓練,以降低員工誤點擊惡意郵件之風險。透過各類課程的進行,除提升同仁資訊安全意識,亦確保資訊安全觀念能融入日常作業中。
3.資訊安全管理
本公司透過資訊安全管理系統之建置,落實資訊安全政策、保護客戶資料及公司智慧產出、強化資訊安全事件應變能力及達成資訊安全政策衡量指標。
並達到利害相關團體對本公司之期望,並透過PDCA 機制持續增強公司資安控管機制,有助於提高公司之競爭力。
4.資安保險之安排
本公司自106年7月開始投保企業資訊安全風險管理保險,因應有資安事件時的所產生相關費用(如營運中斷、鑑識)的保險理賠,投保範圍包含合併子公司,以減少公司的損失。
5.重大資安事件之措施
本公司於資安管理制度建置過程中強化內部緊急應變流程SOP 及演練,並將持續模擬各種資安攻擊事件演練且安排相關人員參與演練,確保事件發生時能啟動緊急流程,有效降低事件回應時間,減少公司的損失。
於112年10月30日向董事會報告112年度投入資通安全管理之資源及執行成果如下:
112年6月及10月申報設置資安專責主管1名及資訊安全人員1名,以強化資通安全架構。
因應資安多變的環境,更新1台防火牆設備。每日進行系統備份,擬定不同情境執行還原演練計畫。
112年12月上旬對員工進行線上資訊安全教育訓練,計150人次,合計 150人時,課程內容包含:資訊安全概念/資安宣導/資安風險與入侵方式/案例分享/資安對策....等。
不定期選取資安事件案例,以系統公告或E-mail方式,對全公司進行資訊安全重要性宣導。
每月參與集團資安相關會議,透過不同資安議題討論,並研擬對策;參加112年度資安大會,了解最新資安威脅;及每季進行資訊安全管理委員會會議,透過風險評估,改善資安現況。