資通安全管理
(一)資通安全風險管理策略與架構
本公司為強化各項資訊資產之安全管理,提升資料、系統、設備及網路安全,確保本公司資訊處理之正確性,避免人員所使用之電腦軟體、硬體、週邊及網路系統遭受干擾、破壞、入侵之行為或企圖,訂定資通安全管理架構、策略及具體管理方案。
一、企業資訊安全治理組織:本公司資訊安全之權責單位為資訊部,包含資安專責主管及至少兩名以上的資安人員,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向董事長報告各項業務執行狀況。
二、資通安全管理架構:

本公司總經理指派資安專責單位在公司內部成立資通安全管理委員會,由副總經理及資安專責主管擔任委員會主席及副主席,資安專責單位及各部門安排代表分別組成規劃、執行及稽核小組,以負責推動、協調監督及審查資通安全管理事項。
三、資通安全政策
● 資訊安全之目標:
為使業務順利運作,確保資訊或資通系統機密性、完整性、可用性,建構資訊安全管理系統,保障顧客權益及本公司業務持續運作。
● 資訊安全之範圍:
本公司所有同仁及往來之機關與廠商,只要運用到本公司資訊相關軟硬體設施者。
(1)人員管理及資訊安全教育訓練。
(2)電腦系統安全管理。
(3)網路安全管理。
(4)系統存取管制。
(5)系統發展及維護安全管理。
(6)資訊資產安全管理。
(7)實體及環境安全管理。
(8)資訊安全稽核。
(1)使用防毒軟體。
(2)成為負責任的網路公民。
(3)禁止開啟來路不明的電子郵件。
(4)定期備份電腦檔案。
(5)定期更新程式。
(6)定期檢視電腦安全。
(7)不使用時請登出。
(8)使用複雜的密碼,並妥善保存。
(9)電腦設置防火牆。
(10)不要和陌生人共享電腦存取途徑,並請了解檔案分享的風險。
四、具體管理方案:
項目 | 具體管理措施 |
---|---|
防毒軟體 |
|
監控網路安全 |
|
郵件過濾及防護系統 |
|
系統權限與存取管控 |
|
資料安全保護 |
|
資安宣導與教育訓練 |
|
五、投入資通安全管理之資源:
資訊部定期召集各部門主管審視公司資安治理政策,並定期向董事長報告資安治理概況。本公司於113年投入總計超過新台幣12,000,000元以強化資訊安全。
六、本公司已於113年導入ISO27001 資訊安全管理系統標準認證,目前證書效期為113年12月30日至116年12月29日。透過 ISO 27001資通安全管理系統之導入,強化資通安全事件應變處理能力,並保護公司與客戶之資產安全,控制並降低資訊安全事件所帶來的威脅及衝擊。
資訊安全認證:ISO27001