資訊安全管理
資訊安全對象與範圍
- 對象:利害關係人(包括員工、客戶、供應商、股東等),以及營運相關資訊軟硬體設備。
- 範圍:為確保本公司資訊安全,制定相關規章制度,應用技術和數據安全標準制定,並納入管理運作體系,以保障員工、供應商、客戶進行業務接洽時之隱私權保護與資訊安全維護。
- (一)資訊安全風險管理架構
- 本公司資訊安全之權責單位為資訊部,已設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。
- 1.資通安全政策
- 本公司重視利害關係人,包括員工、客戶、股東及營運相關資訊資產之安全與隱私,為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,建立資訊安全相關管理程序、「個人資料保護管理程序」,預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。
- 2.具體管理方案
- 本公司重視利害關係人,包括員工、客戶、股東及營運相關資訊資產之安全與隱私,為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,建立資訊安全相關管理程序、「個人資料保護管理程序」,預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。
- 資訊人員具有多年之資訊安全經驗,不定期扮演第三方,模擬駭客手法執行演練,若檢測結果發現漏洞,則於規定時限內完成修補並通過複測。
- (1)制度規範:本公司內部訂定資訊安全作業程序,以規範本公司人員資訊安全行為,定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。定期執行內部稽核,以強化本公司資訊安全之作業管理。
- (2)科技運用:本公司為防範各種外部資安威脅,建置各式資安防護系統(如:防毒軟體),以提昇整體資訊環境之安全性。
- (3)人員訓練:本公司不定期實施人員資訊安全教育訓練實務課程與資訊安全機會宣導,藉以提昇公司同仁資安知識與專業技能。
- (4)具體實施資訊安全管理措施:
| 類別 | 說明 | 相關措施 |
|---|---|---|
|
權限管理 |
|
|
|
存取管制 |
|
|
|
外部威脅 |
|
|
|
系統可用 |
系統可用狀態與服務中斷時的處置措施 |
|
- 3.投入資通安全管理之資源
(1)本公司已制定並公告《個人資料保護管理》程序,明確規範個人資料蒐集、處理、利用及保存之管理原則,並依據個人資料保護法及相關法規落實內部控管措施,以保障並落實個人資料之保護與管理。本政策所規範之個人資料範圍為本公司內部及委託外部所蒐集、處理及利用之個人資料。
- (2)每年辦理資訊安全教育訓練,課程內容為「資訊日常信息安全意識培訓」,員工積極參與,了解更貼近日常生活中的資訊安全內容,未來每年持續辦理教育訓練,並不定期針對各項資訊安全認知進行公告及宣導,透過不斷的培訓及宣導,提升定加強員工資安意識。114 年度本公司持續推動個資保護措施,並完成員工個資與資訊安全教育訓練合計675人次,累積時數 1350 小時,以強化同仁個資保護意識與合規能力。
- (3)透過建置資訊安全監控系統及執行系統弱點掃描,預防駭客侵入及竊取公司機密資料,同時,建立完整資訊系統安全防護網,包含機房、網路設備、網路連線及個人資訊設(如:桌上型電腦、筆記型電腦等)管理,以落實員工個人資料、公司機密資料、客戶及供應商等資料保護。
- (4)為利資通安全作業順利推行,設資通安全主管及資通安全人員各 1 名。
- (二)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施:無。