一、資通安全風險管理架構
本公司指派資訊部主管擔任資訊安全專責主管並設立資訊安全專責單位負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。
資訊安全專責單位透過每月例行會議,審核資安風險分析結果及採取對應的防護措施,確保資訊安全管理體系持續運作的適用性、適切性及有效性。資訊安全專責主管每年向董事會彙報資安管理成效及資安策略方向。
二、資通安全政策
- 恪遵法令訂定相關資訊安全管理辦法,對本公司資訊資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循。
- 定期評估各種人為及天然災害對本公司資訊資產之影響,並訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。
- 督導本公司同仁落實資訊安全防護工作,建立「資訊安全、人人有責」觀念,提升各業務部門及人員對資訊安全之認知。
- 要求本公司全體同仁以及使用或連結本公司電腦系統之往來廠商,應確實遵守本公司資訊安全相關規定,如有違反者, 視其情形分別依本公司規定懲處或依契約罰則辦理外,情節嚴重者另將受相關法律之訴追。
三、具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
- 提升資安防禦能力:定期進行資安系統脆弱度分析及滲透測試,並加以補強與修護,以降低資安風險。建立網路安全事件應變計畫,依事件嚴重度等級進行影響和損失評估,採取對應的復原行動。
- 精進資安管理程序:不斷強化資安防禦能力外,在管理程序及意識認知上也須並重。員工應遵守資安規定(如嚴格管制行動儲存裝置)、遵循 SOP 作業。
- 增進網路、端點及應用安全:提升端點設備的異常偵測及防護能力。整體資訊系統網路安全區域優化,增加重要主機特權帳號登入認證防護。
- 法令遵循:依相關法規規定推動各項標準化作業,降低生產營運的風險。
- 教育訓練:進行全員資安教育訓練與不定期社交工程釣魚郵件測試,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
- 疫情管制:因應全球 COVID-19 疫情,強化在家工作的防毒駭及資訊安全保護措施,宣導勿使用公共電腦與網路作為工作使用,善盡保護公司資訊之責任。
四、投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 專責人力:設有資通安全專責單位,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
- 客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
- 教育訓練:所有新進員工到職前皆完成資訊安全教育宣導;全體員工皆完成兩次線上資訊安全教育宣導;年度共計執行四次社交工程釣魚郵件測試。
- 資安公告:製作資安公告,在公司公告平台傳達資安防護重要規定與注意事項。