資訊安全風險管理政策

資訊安全風險管理政策

本公司訂有資通安全政策,為資訊系統建立一套完整的資訊安全措施及管理流程。雖本公司已建立上述政策,但無法控管公司資訊系統,完全避免第三方以非法入侵本公司系統進行破壞。但本公司仍持續檢視和評估,加強安全措施及管理流程,以確保其適當性和有效性,以降低風險。

  1. 資通安全風險管理架構

    本公司資通安全之權責單位為資訊部,設置資訊主管,與專業資訊人員數名,負責訂定公司資訊安全政策、規劃資訊安全作業與資安政策推動和執行。每年稽核室會定期查核,若查核發現缺失,立即要求受查單位提出改善措施,且定期追蹤改善結果,以降低內部資安風險。

  2. 資通安全政策

    為維持公司資訊系統的正常運作,強化資通安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅。本公司資通安全管理機制,包含以下四個面向:
    1. 制度規範:訂定公司資通安全管理制度,規範人員作業行為。

    2. 組織管理體系:建立本公司自上而下的資訊安全工作管理體系,確立安全管理組織機構的職責,統籌規劃、專家決策,以推動全轄資訊安全工作的開展。

    3. 系統防護:設置資通安全管理設備及工具,落實資訊安全管理措施。

    4. 人員訓練:定期進行資通安全教育訓練,提昇公司同仁資安知識與專業技能。

  3. 資訊安全具體管理方案

    定期審視內部資訊安全規範,統籌、管理、督導集團所有資安業務,定期進行防護系統有效性查核、社交工程演練等相關資安檢測,並對員工持續提供相關資安宣導。透過資安政策與作業程序的執行,可提供足夠的資安環境,保障公司各項服務的正常運作。
     
  4. 投入資通安全管理之資源

    透過建置資訊安全監控系統及執行系統弱點掃描,預防駭客侵入及竊取公司機密資料,同時,建立完整資訊系統安全防護網,包含機房、網路設備、網路連線及個人資訊設備 (如:桌上型電腦、筆記型電腦等)管理,以落實員工個人資料、公司機密資料、客戶及供應商等資料保護。