資訊安全

管理架構

本公司為落實資訊安全及個人資料的保護管理,於105年成立「資安暨個資管理委員會」,及指派公司跨處室之資訊安全代表,每季召開資訊安全管理審查會議及資訊安全代表會議。並由資訊處主管每年定期向董事會報告資訊安全執行成果。

資訊安全治理報告及執行成果已於109年11月12日董事會報告在案。

資訊安全管理政策

本公司體認資訊安全為企業永續發展重要議題,為確保資訊之機密性、完整性及可用性,特制定資訊安全管理政策為:

落實防護措施,確保資訊安全

並採取以下策略:
1.建立 ISO27001 資訊安全管理系統。
2.實施教育訓練,提升資安意識。
3.運用風險管理,管控資訊安全。
4.強化應變機制,落實持續改善。

管理方案

各項主要評估項目與具體管理方案分述如下:

一、外部威脅
1.定期網路弱點掃描、修補網路破洞,降低駭客入侵。
2.使用防火牆過濾惡意軟體入侵攻擊。
3.使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
4.更新防毒軟體,防止感染各類病毒。
5.進行委外廠商實地稽核,專案開始並簽訂「委外廠商人員保密切結書」。

二、內部管理
1.加強資安宣導及教育訓練
2.導入加密系統,針對機密文件加密,防止資料外洩
3.針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練。
4.定期審查特權帳號及一般帳號,控管帳號。
5.設置系統開發測試環境,減少人為疏失。
6.外部人員必須提出申請,才可存取內部網路資源(wifi)
7.收集系統軌跡紀錄,防止他人非法進入系統。
8.隨身碟需註冊後才可在公司電腦使用

108年7月資安暨個資管理委員會決議引進外部顧問資源,同年12月啟動「資安管理制度導入暨驗證專案」;已於110年通過 ISO 27001 資訊安全管理系統認證。