資訊安全組織與運作

本公司制定適宜的資訊安全制度文件及控制措施,由「資訊部」負責資訊安全及風險管理,依照公司之經營方針及運營模式,設計資訊管理系統,提供即時決策支援系統與管理資訊,涵蓋相關環節,包括政策、組織、人員、網路安全、作業管理、存取控制、資訊系統開發及維護、資安事件管理等。

資訊安全政策

本公司資訊安全風險管理架構針對人員、對內及對外三個層面進行風險管理。

  • 人員:資訊安全政策、訓練及宣導、許可權管控
  • 對內:網路管控、防毒、資料保護
  • 對外:防火牆、入侵防護系統

對於資訊安全事件之預防準備、發生處理及事後調查檢討進行因應。

  • 資訊安全預防(事前): 加強人員對於資訊安全事件認知及防範、建立更安全、穩定和快速的網路環境及設施服務並加強資料存取安全性及完整性
  • 資訊安全處理(事中): 即時處理、控制和阻止及資料的保全、備份及恢復
  • 資訊安全檢討(事後): 證據保存、事件調查及定期檢討及改善

具體管理控制措施:

  • 資訊部每年進行自我內部查核以確認制度有效性,且稽核單位亦定期對資安查核狀況結果呈報董事會。
  • 定期執行資訊安全宣導作業以提昇資訊安全防護之認知觀念。
  • 員工持有之帳號、密碼與權限應善盡保管與使用責任並定期換置。
  • 員工、訪客及其他外部單位等,使用本公司資訊服務或執行相關資訊業務等,依各業務範圍、權責分別設定使用者之帳號及許可權,使用者一旦離開原職務或任務結束,立即撤銷及格式化該使用者之權限以確認無資安外洩疑慮。
  • 網路建立防火牆等多層次防禦,並建立防毒、郵件過濾、郵件稽核等管控機制,以降低網路威脅。
  • 重要服務與資料皆有建立備援與異地備份,以確保服務不中斷與資料不遺失。
  • 設計適當之資訊安全事件的回應及通報程序,以能適當對資訊安全事件做立即反應,避免傷害擴大。