資訊安全管理 資訊安全管理 目前位置: 首頁> ESG永續發展> 資訊安全管理 資訊安全對象與範圍對象:利害關係人(包括員工、客戶、供應商、股東等),以及營運相關資訊軟硬體設備。範圍:為確保本公司資訊安全,制定相關規章制度,應用技術和數據安全標準制定,並納入管理運作體系,以保障員工、供應商、客戶進行業務接洽時之隱私權保護與資訊安全維護。(一)資訊安全風險管理架構本公司資訊安全之權責單位為資訊部,該課設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。1.資通安全政策本公司重視利害關係人,包括員工、客戶、股東及營運相關資訊資產之安全與隱私,為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,建立資訊安全相關管理程序、「個人資料保護管理程序」,預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。2.具體管理方案本公司重視利害關係人,包括員工、客戶、股東及營運相關資訊資產之安全與隱私,為確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內、外部蓄意或意外之威脅,衡酌本公司之業務需求,建立資訊安全相關管理程序、「個人資料保護管理程序」,預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。資訊人員具有多年之資訊安全經驗,不定期扮演第三方,模擬駭客手法執行演練,若檢測結果發現漏洞,則於規定時限內完成修補並通過複測。(1)制度規範:本公司內部訂定資訊安全作業程序,以規範本公司人員資訊安全行為,定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。定期執行內部稽核,以強化本公司資訊安全之作業管理。(2)科技運用:本公司為防範各種外部資安威脅,建置各式資安防護系統(如:防毒軟體),以提昇整體資訊環境之安全性。(3)人員訓練:本公司不定期實施人員資訊安全教育訓練實務課程與資訊安全機會宣導,藉以提昇公司同仁資安知識與專業技能。(4)具體實施資訊安全管理措施: 類別 說明 相關措施 權限管理 人員帳號權限管理系統操作 人員帳號權限管理與審核人員帳號權限定期盤點 存取管制 人員存取內外部系統資料傳輸管道安全措施 內/外部存取管控資料外洩管控操作行為軌跡紀錄 外部威脅 內部系統潛在弱點防毒防駭的保護措施 主機電腦弱點檢測與更新措施防毒防駭,垃圾與惡意程式偵測 系統可用 系統可用狀態與服務中斷時的處置措施 系統/網路可用狀態監控及通報機制服務中斷之應變措施資料備份與系統備援機制定期災害還原演練 3.投入資通安全管理之資源(1)透過建置資訊安全監控系統及執行系統弱點掃描,預防駭客侵入及竊取公司機密資料,同時,建立完整資訊系統安全防護網,包含機房、網路設備、網路連線及個人資訊設(如:桌上型電腦、筆記型電腦等)管理,以落實員工個人資料、公司機密資料、客戶及供應商等資料保護。(2)每年辦理資訊安全教育訓練,課程內容為「資訊日常信息安全意識培訓」,員工積極參與,了解更貼近日常生活中的資訊安全內容,未來每年持續辦理教育訓練,並不定期針對各項資訊安全認知進行公告及宣導,透過不斷的培訓及宣導,提升定加強員工資安意識。 (二)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施:無。