资通安全同险管理架构
本公司制定适宜的资通安全制度文件及控制措施,由「资讯部」负责资通安全及风险管理,依照公司之经营方针及运营模式,设计资通管理系统,提供实时决策支持系统与管理资通,涵盖相关环节,包括政策、组织、人员、网络安全、作业管理、访问控制、资通系统开发及维护、资安事件管理等。
资通安全政策
本公司资通安全风险管理架构针对人员、对内及对外三个层面进行风险管理。
- 人员:资通安全政策、训练及倡导、权限管控。
- 对内:网络管控、防毒、数据保护。
- 对外:防火墙、入侵防护系统对于资通安全事件之预防准备、发生处理及事后调查检讨进行因应。
- 资通安全预防(事前): 加强人员对于资通安全事件认知及防范、建立更安全、稳定和快速的网络环境及设施服务并加强数据存取安全性及完整性。
- 资通安全处理(事中):实时处理、控制和阻止及数据的保全、备份及恢复。
- 资通安全检讨(事后):证据保存、事件调查及定期检讨及改善。
资通安全具体管理方案
- 资通部每年进行自我内部查核以确认制度有效性,且稽核单位亦定期对资安查核状况结果呈报董事会。
- 定期执行资通安全倡导作业以提升资通安全防护之认知观念。
- 员工持有之账号、密码与权限应善尽保管与使用责任并定期换置。
- 员工、访客及其他外部单位等,使用本公司资通服务或执行相关资通业务等,依各业务范围、权责分别设定使用者之账号及权限,使用者一旦离开原职务或任务结束,立即撤销及格式化该使用者之权限以确认无资安外泄疑虑。
- 网络建立防火墙等多层次防御,并建立防毒、邮件过滤、邮件稽核等管控机制,以降低网络威胁。
- 重要服务与数据皆有建立备援与异地备份,以确保服务不中断与数据不遗失。
- 设计适当之资通安全事件的响应及通报程序,以能适当对资通安全事件做立即反应,避免伤害扩大。
投入资通安全管理之资源
- 设置专职资通安全人员1人,以及代理人1人。
- 2025年度召开相关会议3次。
- 2025年度进行资安内部稽核1次、外部稽核2次。
- 2025年度进行2次灾难复原演练。
- 2025年度资通安全资金投入人民币10万元。
粤公网安备 32050502000822号