資通安全政策:
- 提升安全共識。
- 重視存取控制。
- 健全資料保護。
- 業務營運持續。
資通安全目標:
- 辦理教育訓練,提升員工資安意識。
- 定期權限審查,落實網路隔離機制。
- 完善備分作業,強化資料之可用性。
- 落實演練計畫,確保業務營運水準。
資通安全管理委員會架構與工作執掌:
資通安全管理委員會:
委員長:
由本公司總經理擔任資通安全委員長,審核資通安全政策與目標。
召集人:
由資訊部門最高主管擔任召集人,確保資通安全政策與目標的建立,切合組織策略方向,推動持續改善,追踪及彙總活動成果報告。
執行秘書:
由召集人指派資訊部門人員擔任,協調資通安全執行小組與緊急處理小組執行資通安全相關作業。
資通安全執行小組:
為任務編組方式組成,由執行秘書指派專人擔任組長與組員,負責執行各項資通安全活動。
緊急處理小組:
為任務編組方式組成,由執行秘書指派專人擔任組長,各關鍵業務流程負責人擔任組員,解決資通安全問題與預防措施改善。
資通安全稽核小組:
由資通安全委員長指派,負責評估資通安全管理制度之執行情形。
資通安全具體管理方案:
提升資通安全管理,公司已在民國111年2月成立「資通安全管理委員會」,負責審視公司及各子公司資安治理政策,監督資安管理運作情形,並定期召開「ISMS管理審查會議」審理資安治理相關議題及持續改善, 以確立資通安全政策訂定及適用性。
「資通安全管理委員會」的委員長由總經理擔任,召集人由資訊最高主管擔任,負責資通安全治理、規劃、督導及推動執行,以建構出全方位的資安防衞能力及同仁良好的資通安全意識。
資安策略主軸聚焦資安治理,法令遵循及科技運用三個面向來進行,從制度到科技,從人員到組織,全面性提升資安防護能力。
依照上市上櫃公司資通安全管控指引規定,已指派資訊主管乙名,與專業資訊人員數名,負責執行資通安全作業、確保資通政策之落實與處理緊急資通安全事件,所有相關人員每年都會接受資通安全之專業課程訓練。
為加強資安情資掌握能力與資安事件應變能力,已加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),透過聯防組織來完善安全防護計畫,搭配熟練的緊急應變程序,妥善處理突發的資安事件。
有鑑於目前資安新興趨勢,如DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、偽冒網站等,公司定期關注資安議題並規劃因應計畫,針對不同資安情境演練,強化處理人員的應變能力,以期能在第一時間即偵測到並完成阻擋。
且定期進行安全稽核作業,如弱點掃描或滲透測試,以確定資通系統及網路環境符合安全實施標準。
為因應資通安全所面臨的挑戰,如APT進階持續性攻擊、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題,規劃採取以下策略:
- 每年執行安全性檢測、資通安全健診、社交安全及資安事件演練。
- 強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。
- 公司每年度定期公告宣導資安政策,並培養具有資安證照的同仁。
- 對全體同仁施行資通安全教育訓練,每人每年至少2小時。
- 每年至少1次向董事會報告,整理彙總年度執行資安風險狀況。