資訊安全管理

本公司體認資訊安全為企業永續發展重要議題;我們於2016年即成立「資安暨個資管理委員會」,2023年設置資安主管,負責防範外部威脅及內部管理疏失。

資訊安全委員會組織

  • 權責單位
    「資安暨個資管理委員會」以總經理為主任委員,資訊處處長為執行秘書,指派公司跨處室之一級主管為資訊安全代表,定期召開資訊安全審查會議。

具體作法

2019年7月資安暨個資管理委員會決議引進外部顧問資源,同年12月啟動「資安管理制度導入暨驗證專
案」;已於2021年通過ISO 27001資訊安全管理系統驗證。

執行成果與具體作為

2023無發生任何影響公司營運之資訊安全事件。

  • 「資安暨個資管理委員會」定期召開會議;並由資訊處主管每年定期向董事會報告資訊安全執行成果。最近一次於2023年11月9日向董事會報告。
  • 於2023年持續通過 ISO 27001資訊安全管理系統認證

資訊安全與個資事件通報流程

若遇資訊安全與個資事件通報,將依照公司通報處理流程步驟進行處理。

1

通報

  • 說明
    – 系統自動監控通知
    – 客戶通報異常事件
    – 人員查檢發現
    – 其他

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 同仁

2

問題初判

  • 說明
    – 針對異常問題進行初步判斷
    – 通報業務負責人

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人

3

問題研判

  • 說明
    – 通報資訊安全與個資事件原因
    – 研判資訊安全與個資事件種類,等級,影響程度等
    – 研判所需處理事件時間及是否進行對外通報

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

4

障礙排除作業

  • 說明
    – 啟動障礙排除作業
    – 在系統檢查中,若系統自我修復則停止通報
    – 依SOP可直接進行排除並可結案
    – 啟動業務持續運作計畫
    – 評估是否需要外部支援
    – 進行資訊安全與個資事件通報
    – 指派人員統一對外回應事件

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

5

服務復原作業

  • 說明
    – 障礙排除說明
    – 資訊安全與個資事件彙總報告
    – 依矯正及改善程序執行,業對事件依受影響範圍依照「矯正-復原-檢討」之順序進行

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

6

結案

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組