一、资通安全风险管理架构
本公司指派资讯部主管担任资讯安全专责主管并设立资讯安全专责单位负责执行资讯作业安全管理规划,建置与维护资讯安全管理体系,统筹资讯安全及保护相关政策制定、执行、风险管理与遵循度查核。
资讯安全专责单位透过每月例行会议,审核资安风险分析结果及采取对应的防护措施,确保资讯安全管理体系持续运作的适用性、适切性及有效性。资讯安全专责主管每年向董事会汇报资安管理成效及资安策略方向。
二、资通安全政策
- 恪遵法令订定相关资讯安全管理办法,对本公司资讯资产提供适当的保护措施,以确保其机密性、完整性、可用性及法律遵循。
- 定期评估各种人为及天然灾害对本公司资讯资产之影响,并订定重要资讯资产及关键性业务之防灾对策及灾变复原计画,以确保本公司业务持续运作。
- 督导本公司同仁落实资讯安全防护工作,建立「资讯安全、人人有责」观念,提升各业务部门及人员对资讯安全之认知。
- 要求本公司全体同仁以及使用或连结本公司电脑系统之往来厂商,应确实遵守本公司资讯安全相关规定,如有违反者, 视其情形分别依本公司规定惩处或依契约罚则办理外,情节严重者另将受相关法律之诉追。
三、具体管理方案
为达资安政策与目标,建立全面性的资安防护,推行的管理事项及具体管理方案如下:
- 提升资安防御能力:定期进行资安系统脆弱度分析及渗透测试,并加以补强与修护,以降低资安风险。建立网路安全事件应变计画,依事件严重度等级进行影响和损失评估,采取对应的复原行动。
- 精进资安管理程序:不断强化资安防御能力外,在管理程序及意识认知上也须并重。员工应遵守资安规定(如严格管制行动储存装置)、遵循 SOP 作业。
- 增进网路、端点及应用安全:提升端点设备的异常侦测及防护能力。整体资讯系统网路安全区域优化,增加重要主机特权帐号登入认证防护。
- 法令遵循:依相关法规规定推动各项标准化作业,降低生产营运的风险。
- 教育训练:进行全员资安教育训练与不定期社交工程钓鱼邮件测试,以提升资安意识,使资安的运作在高阶主管与各部门的支持下,落实到每一位员工身上。
- 疫情管制:因应全球 COVID-19 疫情,强化在家工作的防毒骇及资讯安全保护措施,宣导勿使用公共电脑与网路作为工作使用,善尽保护公司资讯之责任。
四、投入资通安全管理之资源
资讯安全已为公司营运重要议题,对应资安管理事项及投入之资源方案如下:
- 专责人力:设有资通安全专责单位,负责公司资讯安全规划、技术导入与相关的稽核事项,以维护及持续强化资讯安全。
- 客户满意:无重大资安事件,无违反客户资料遗失之投诉案件。
- 教育训练:所有新进员工到职前皆完成资讯安全教育宣导;全体员工皆完成两次线上资讯安全教育宣导;年度共计执行四次社交工程钓鱼邮件测试。
- 资安公告:制作资安公告,在公司公告平台传达资安防护重要规定与注意事项。