資訊安全

管理架構

本公司為落實資訊安全及個人資料的保護管理,於2016年成立「資安暨個資管理委員會」,及指派公司跨處室之資訊安全代表,每季召開資訊安全管理審查會議及資訊安全代表會議。並由資訊處主管每年定期向董事會報告資訊安全執行成果。

資訊安全治理報告及執行成果已於2021年11月11日董事會報告在案。

資訊安全管理政策

本公司體認資訊安全為企業永續發展重要議題,為確保資訊之機密性、完整性及可用性,特制定資訊安全管理政策為:

落實防護措施,確保資訊安全

並採取以下策略:
1.建立 ISO 27001 資訊安全管理系統。
2.實施教育訓練,提升資安意識。
3.運用風險管理,管控資訊安全。
4.強化應變機制,落實持續改善。

管理方案

外部威脅

主要評估項目

具體管理方案

1.定期網路弱點掃描、修補網路破洞,降低駭客入侵。
2.使用防火牆過濾惡意軟體入侵攻擊。
3.使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
4.更新防毒軟體,防止感染各類病毒。
5.進行委外廠商實地稽核,專案開始並簽訂「委外廠商人員保密切結書」。

外部威脅

內部管理

主要評估項目

具體管理方案

1.加強資安宣導及教育訓練
2.導入加密系統,針對機密文件加密,防止資料外洩
3.針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練。
4.定期審查特權帳號及一般帳號,控管帳號。
5.設置系統開發測試環境,減少人為疏失。
6.外部人員必須提出申請,才可存取內部網路資源(wifi)
7.收集系統軌跡紀錄,防止他人非法進入系統。
8.隨身碟需註冊後才可在公司電腦使用。

內部管理

2019年7月資安暨個資管理委員會決議引進外部顧問資源,同年12月啟動「資安管理制度導入暨驗證專案」;已於2021年通過 ISO 27001 資訊安全管理系統認證。