信息安全风险管理政策
本公司订有资通安全政策,为信息系统建立一套完整的信息安全措施及管理流程。虽本公司已建立上述政策,但无法控管公司信息系统,完全避免第三方以非法入侵本公司系统进行破坏。但本公司仍持续检视和评估,加强安全措施及管理流程,以确保其适当性和有效性,以降低风险。
-
资通安全风险管理架构
本公司资通安全之权责单位为信息部,设置信息主管,与专业信息人员数名,负责订定公司信息安全政策、规划信息安全作业与资安政策推动和执行。每年稽核室会定期查核,若查核发现缺失,立即要求受查单位提出改善措施,且定期追踪改善结果,以降低内部资安风险。
-
资通安全政策
为维持公司信息系统的正常运作,强化资通安全管理,确保信息的可用性、完整性以及机密性,并免于遭受内、外部的蓄意或意外的威胁。本公司资通安全管理机制,包含以下四个面向:-
制度规范:订定公司资通安全管理制度,规范人员作业行为。
-
组织管理体系:建立本公司自上而下的信息安全工作管理体系,确立安全管理组织机构的职责,统筹规划、专家决策,以推动全辖信息安全工作的开展。
-
系统防护:设置资通安全管理设备及工具,落实信息安全管理措施。
-
人员训练:定期进行资通安全教育训练,提升公司同仁资安知识与专业技能。
-
-
信息安全具体管理方案
定期审视内部信息安全规范,统筹、管理、督导集团所有资安业务,定期进行防护系统有效性查核、社交工程演练等相关资安检测,并对员工持续提供相关资安倡导。透过资安政策与作业程序的执行,可提供足够的资安环境,保障公司各项服务的正常运作。
-
投入资通安全管理之资源
透过建置信息安全监控系统及执行系统弱点扫描,预防黑客侵入及窃取公司机密数据,同时,建立完整信息系统安全防护网,包含机房、网络设备、网络联机及个人信息设备 (如:桌面计算机、笔记本电脑等)管理,以落实员工个人资料、公司机密数据、客户及供货商等数据保护。