資訊安全管理

本公司體認資訊安全為企業永續發展重要議題,為確保資訊之機密性、完整性及可用性,特制定資訊安全管理政策,落實防護措施,確保資訊安全。並且於2016年成立「資安暨個資管理委員會」,2023年設置資安主管,負責防範外部威脅及內部管理疏失。

資訊安全委員會組織

  • 衝擊評估
    「資安暨個資管理委員會」負責審查資訊安全管理系統有關之內部及外部議題的變更、風險評鑑結果及風險處理計畫,並關注持續改善之機會。

  • 權責單位
    「資安暨個資管理委員會」以總經理為主任委員,資訊處處長為資安主管兼執行秘書,指派公司跨處室之一級主管為資訊安全代表,每年召開資訊安全管理審查會議,並由執行秘書定期向董事會報告資訊安全執行成果。

管理方案

執行成果與具體作為

2023無發生任何影響公司營運之資訊安全事件。

  • 「資安暨個資管理委員會」定期召開會議;並由資訊處主管每年定期向董事會報告資訊安全執行成果。最近一次於2023年11月9日向董事會報告。
  • 於2023年持續通過 ISO 27001資訊安全管理系統認證
  • 全體員工於月會宣導 1

  • 郵件宣導 2

  • 資訊處同仁教育訓練 3 小時

資訊安全與個資事件通報流程

若遇資訊安全與個資事件通報,將依照公司通報處理流程步驟進行處理。

1

通報

  • 說明
    – 系統自動監控通知
    – 客戶通報異常事件
    – 人員查檢發現
    – 其他

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 同仁

2

問題初判

  • 說明
    – 針對異常問題進行初步判斷。
    – 通報業務負責人。

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人

3

問題研判

  • 說明
    – 通報資訊安全與個資事件原因。
    – 研判資訊安全與個資事件種類,等級,影響程度等。
    – 研判所需處理事件時間及是否進行對外通報。

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

4

障礙排除作業

  • 說明
    – 啟動障礙排除作業。
    – 在系統檢查中,若系統自我修復則停止通報。
    – 依SOP可直接進行排除並可結案。
    – 啟動業務持續運作計畫。
    – 評估是否需要外部支援。
    – 進行資訊安全與個資事件通報。
    – 指派人員統一對外回應事件。

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

5

服務復原作業

  • 說明
    – 障礙排除說明。
    – 資訊安全與個資事件彙總報告。
    – 依矯正及改善程序執行,業對事件依受影響範圍依照「矯正-復原-檢討」之順序進行。

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

6

結案

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組