資訊安全
一、資訊安全風險管理架構
- 管理架構
本公司為提升資訊安全的管理,由總經理擔任召集人,指定資訊主管負責公司資訊安全治理政策、監督資安管理運作情形,定期審查資訊安全發展計畫及評估資訊安全風險並向董事會報告。
執行情形:由總經理擔任召集人,每月定期召開會議由資訊主管報告執行成果及宣導相關資訊安全政策與執行重點,透過資安單位之管理、規畫、督導及推動執行,建構出全方位的資安防護機制並提升同仁良好的資安意識。
自109年起每年定期一次向董事會報告資訊安全運作情形(最近一次董事會報告日期112年10月26日)。
二、資訊安全政策
- 本公司為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、設備及網路安全,保障客戶權益,特訂定本政策,以作為實施各項資訊安全措施之依據。
本政策適用於本公司內正式員工、約聘僱人員、臨時人員及使用本公司資訊資源或資訊業務委外服務之廠商人員等。
本政策所稱資訊安全,係指確保本公司資訊處理之正確性,作業人員所使用之電腦軟體、硬體、週邊及網路系統之可靠性,並確保上述資源免受干擾、破壞、入侵之行為或企圖。
本政策依公開發行公司內部控制制度處理準則編制。
本公司將依下列各項原則致力於各項作業安全,以達成降低資安風險衝擊本公司營運、避免內部疏失傷害本公司信譽及形象、堅持高品質的資安防護要求及維持客戶的信賴與保障客戶權益之目標:
(1).進行各項作業時,應遵循主管機關頒布之各種法令及本公司相關之規定辦理。
(2).工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未授權修改或誤用。
(3).協力廠商、委外廠商及顧問於業務性質有必要時,本公司得要求其簽訂保密合約。
(4).所有員工有義務保護本公司機密敏感資料,禁止未經授權的情況下接觸、使用或是將該資訊揭露、告知予與業務無關之同仁、廠商及其他客戶。
(5).所有員工對於有違反資訊安全政策與程序之情事,應隨時保持警戒,並依程序進行通報。
(6).本公司應視業務需求訂定業務持續運作計畫,並定期測試演練,維持其適用性。
(7).本公司各單位重大資訊設備(含軟、硬體)異動,應經資訊單位協助技術及規格之評估。
本政策之頒布,明確宣示維護資訊安全的重要性,遵照本政策之要求,本公司另訂定相關資訊安全作業規範供各單位遵循。各單位秉持維護本公司作業環境之資訊安全遵照辦理,以持續提昇各項作業服務之機密性、完整性與可用性。
本政策未盡事宜,依主管機關之法令及本公司其他相關規定辦理。
三、具體管理方案
- 資訊安全管理措施
| 類型 | 說明 | 相關作業 |
|---|---|---|
| 權限管理 | 人員帳號、權限管理與系統操作行為之管理措施 | • 人員帳號權限管理與審核 |
| • 人員帳號權限定期盤點 | ||
| 存取管控 | 人員存取內外部系統及資料傳輸管道之控制措施 | • 內外部存取管控措施 |
| • 資料外洩管道之控制措施 | ||
| • 操作行為軌跡紀錄分析 | ||
| 外部威脅 | 內部系統潛在弱點、中毒管理與防護措施 | • 主機電腦弱點檢測及更新措施 |
| • 病毒防護與惡意程式偵測 | ||
| 系統可用性 | 系統可用狀態、服務中斷之處置措施 | • 系統網路可用狀態監控及通報機制 |
| • 服務中斷之應變措施 | ||
| • 資料備份備援措施、本異地備援機制 | ||
| • 定期災害還原演練 |
- 資安事件通報程序
