|
資通安全政策
本公司為強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖,訂定資訊安全管理政策:
1.推動資訊安全管理及實施各項資訊安全措施。
2.透過資訊安全管理,保障公司、客戶及利害關係人的各項權益。
3.確保資訊使用範圍內,所有項目之完整性、可用性及機密性。
4.貫徹上述目標,業務永續經營。
資訊安全風險管理架構
1.本公司資訊安全之執行單位為資訊處,設置資訊主管乙名,與專業資訊人員數名,負責訂定內部所有資訊管理辦法暨相關作業,作為推行各項資訊活動、落實各種資訊循環,以及貫徹資訊安全機制的作為。
2.本公司資訊安全監理查核單位為董事長室稽核,負責督導及查核資訊處各項作業執行狀況及內部資安事項執行狀況,若查核發現相關缺失,即要求受查單位提出相關改善計畫與具體作為,並追蹤改善成效,以降低內部資安風險。
資訊安全管理方案
- 結合PDCA方法力求逐步精進,以保護人員、資料、資訊系統、設備及網路之安全等機密性、完整性、可用性、遵循性。
- 高階主管積極參與資安管理活動,提供支持及承諾。
- 以風險控管出發,評估並降低風險,以確保資訊資產之機密性、完整性、可用性、合規性。
- 引進新式技術,佈建即時監控設備與防護系統,積極深化機密資訊保護機制,提昇整體資訊環境之安全性,降低各項風險發生率,以保障客戶、合作夥伴、利害關係人之利益。
- 持續進行各項營運演練活動,以確保公司服務面對外部威脅時,可以快速因應,展現公司韌性。
- 依照個人資料保護法、資通安全管理法等相關規定,審慎處理、保護個人資訊及其相關系統安全。
- 落實資訊安全稽核,確保本公司各項業務恪遵相關政策,使資安管理制度持續正常運作。
資訊安全管理資源
為實踐資通安全政策,投入之資源如下:
- 網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾、網管型集線路等。
- 軟體系統如端點防護系統、備份軟體、VPN認證軟體等。
- 電信網路防禦系統如入侵防護,隔絕網路病毒防護服務等。
- 投入人力如:每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年多次資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
- 資安人力:設有資安主管一名及資安人員一名,負責資安架構設計、資安維運與監控、資安事件回應與調、查資安政策檢討與修訂。
|
|
