資訊安全組織與運作
本公司制定適宜的資訊安全制度文件及控制措施,由「資訊部」負責資訊安全及風險管理,設置資安主管及資安人員各一名,依照公司之經營方針及運營模式,設計資訊管理系統,提供即時決策支援系統與管理資訊,涵蓋相關環節,包括政策、組織、人員、網路安全、作業管理、存取控制、資訊系統開發及維護、資安事件管理等並於2023年度召開相關會議4次。
資訊安全政策
本公司資訊安全風險管理架構針對人員、對內及對外三個層面進行風險管理。
- 人員:資訊安全政策、訓練及宣導、許可權管控
- 對內:網路管控、防毒、資料保護
- 對外:防火牆、入侵防護系統
對於資訊安全事件之預防準備、發生處理及事後調查檢討進行因應。
- 資訊安全預防(事前): 加強人員對於資訊安全事件認知及防範、建立更安全、穩定和快速的網路環境及設施服務並加強資料存取安全性及完整性
- 資訊安全處理(事中): 即時處理、控制和阻止及資料的保全、備份及恢復
- 資訊安全檢討(事後): 證據保存、事件調查及定期檢討及改善
具體管理控制措施:
- 資訊部每年進行自我內部查核以確認制度有效性,且稽核單位亦定期對資安查核狀況結果呈報董事會。
- 定期執行資訊安全宣導作業以提昇資訊安全防護之認知觀念。
- 員工持有之帳號、密碼與權限應善盡保管與使用責任並定期換置。
- 員工、訪客及其他外部單位等,使用本公司資訊服務或執行相關資訊業務等,依各業務範圍、權責分別設定使用者之帳號及許可權,使用者一旦離開原職務或任務結束,立即關閉相關帳號並清理可能的臨時文檔。
- 網路建立防火牆等多層次防禦,並建立入侵偵測防毒、郵件過濾等管控機制,以降低網路威脅。
- 重要服務與資料皆有建立備援與異地備份,以確保服務不中斷與資料不遺失。
- 設計適當之資訊安全事件的回應及通報程序,以能適當對資訊安全事件做立即反應,避免傷害擴大。
粤公网安备 32050502000822号