資通安全政策願景:
- 強化人員認知。
- 避免資料外洩。
- 落實日常維運。
- 確保服務可用。
資通安全目標:
-
辦理資通安全教育訓練,推廣員工資通安全之意識與強化其對相關責任之認知。
- 保護本集團業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
- 使用合法授權軟體並定期進行內部與外部稽核,確保相關作業皆能確實落實。
- 確保本集團關鍵核心系統維持一定水準的系統可用性。
資通安全管理委員會架構與工作執掌:
資通安全管理委員會:
委員長:
由本公司總經理擔任資通安全委員長,核決資通安全政策與目標,並做為公司對外單位的統一發言人。
召集人:
由資訊最高主管擔任召集人,確保資通安全政策與目標建立,且切合組織策略方向;並推動持續改善,追踪及彙總活動成果報告。
執行秘書:
由召集人指派資訊部門人員擔任,協調資通安全執行小組與緊急處理小組執行資通安全相關作業。
資通安全執行小組:
為任務編組方式組成,由執行秘書指派專人擔任組長與組員,負責執行各項資通安全活動。
緊急處理小組:
為任務編組方式組成,由執行秘書指派專人擔任組長,各關鍵業務流程負責人擔任組員,解決資通安全問題與預防措施改善。
資通安全稽核小組:
由資通安全委員長指派,負責評估資通安全管理制度之執行情形。
資通安全具體管理方案:
為提升資通安全管理,公司已在民國111年2月成立「資通安全管理委員會」,負責審視公司及各子公司資安治理政策,監督資安管理運作情形,並定期召開「ISMS管理審查會議」審理資安治理相關議題及持續改善, 以確立資通安全政策訂定及適用性。
111年執行情形:「資通安全管理委員會」的委員長由總經理擔任,召集人由資訊最高主管擔任,負責資通安全治理、規劃、督導及推動執行,以建構出全方位的資安防衞能力及同仁良好的資通安全意識。
資安策略主軸聚焦資安治理,法令遵循及科技運用三個面向來進行,從制度到科技,從人員到組織,全面性提升資安防護能力。
有鑑於目前資安新興趨勢,如DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、偽冒網站等,公司定期關注資安議題並規劃因應計畫,針對不同資安情境演練,強化處理人員的應變能力,以期能在第一時間即偵測到並完成阻擋。 且定期進行安全稽核作業,如弱點掃描或滲透測試,以確定資通系統及網路環境符合安全實施標準。
公司考量資安險仍是新興險種,涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套,因此目前正在評估是否購買資安險。後續目標則是完備資安相關規範、定期資安評估、取得國際資安認證, 未來將持續強化資安防護與建立聯防機制,尤其在培訓優質資安人才上也要同步跟上,公司每年度定期公告宣導資安政策及安排資安相關教育訓練。為因應資通安全所面臨的挑戰,如APT進階持續性攻擊、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題,規劃採取以下策略:
-
每年執行安全性檢測、資通安全健診、社交安全及資安事件演練。
-
強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。
-
公司每年度定期公告宣導資安政策,並培養具有資安證照的同仁。
-
對全體同仁施行資通安全教育訓練,每人每年至少2小時。
-
每年至少1次向董事會報告,整理彙總年度執行資安風險狀況。