资通安全风险管理架构
本公司于支援中心成立资讯安全专职部门「资讯安全管理部」,设置资安主管及资安专责人员,负责规划及订定资通安全政策与资讯安全管理办法,并参照ISO 27001、CNS 27001资讯安全管理系统标准,执行推动管理办法,落实并追踪检讨,对缺失立即且定期改善,以确保政策与管理办法确实执行;相关执行成果定期呈报公司高层会议,以降低营运风险。
资讯安全管理部为维护公司资通之机密性、完整性、可用性与适法性,避免发生人为疏失、蓄意破坏与自然灾害时,遭致资通与资讯资产遭致不当使用、泄漏、窜改、毁损、消失等,影响本公司作业并导致公司权益损害为前提,定期执行资讯安全检查,并将检查报告呈送权责主管覆核;并就检查所提出之发现与问题,予以了解、追踪及覆核改善情形,以确认内外部相关人员与单位,均确实遵循公司资通安全政策与资讯安全管理办法。
资通安全政策
- 持续改善与强化本公司资讯安全管理。
- 确保所属之资讯资产的机密性,完整性及可用性。
- 符合相关法令,法规与契约之要求。
- 建立与维护安全,可信赖,及业务持续运作之资讯环境。
资讯安全目标
- 确保全体人员了解其资讯安全责任,保护资讯资产,减少发生资讯安全事件之风险。
- 确保资讯资产之机密性,落实存取控制,资讯资产需经授权方可存取。
- 确保资讯作业管理之完整性与资料正确性,避免未经授权之修改。
- 确保资讯作业支持续运作,符合营运服务水准要求。
具体管理方案
为达成资安政策与目标,建立全面与完整性的资安防护,推行资安管理事项及具体管理方案如下:
- 采用新世代防火墙,并导入国际情资防护资料库以利协防,每日产出网路攻击事件报告,以提供资安专责人员及时进行因应措施。
- 使用国际软体大厂邮件服务系统,保障99.99%服务可用性,并配合防护模组,以保护电子邮件和共同作业,避免零时差恶意程式码、网路钓鱼和商务电子邮件泄露风险。
- 资讯主机及电脑使用进阶MDR 防骇软体,并委由厂商24 小时监控及防护,每月产出资安报告,每季与资安协力厂商检讨近期资安事件。
- 资讯服务除定期备份外,每年针对核心资讯服务执行灾难复原演练,以强化资安专责人员遭遇自然或人为灾难灾害后之处置能力。
- 帐号分权管理,依照人员职务权责做设定,特殊权限须经申请核准备查,并定期变更人员帐号密码、要求密码复杂度,以降低风险。
- 定期资安教育训练,以提升人员资安意识。
- 加入TW-ISAC电脑网路危机处理暨协调中心之资安情资分享组织,取得资安预警情资、资安威胁与弱点资讯。
投入资通安全管理之资源
资讯安全已为公司营运重要议题,对应资安管理事项及投入之资源方案如下:
- 专责人力:由专职之企业组织「资讯安全管理部」担任资讯安全专责单位,设有专职之资安主管1名、资安人员1名,负责公司资通安全规划、资安紧急应变、资安事件处理、资安技术导入与资安稽核事项,以维护及持续强化资讯安全,并完成上市柜公司资安专责人力申报作业。
- 资通安全组织架构:
- 客户满意:无重大资安事件,无违反客户资料遗失之投诉案件。
- 签署资通安全切结书:所有员工及新进员工皆完成签署资通安全切结书。
- 资安公告:本年度发布1次资讯安全宣导,传达资安防护相关规定与注意事项。
- 利用公司线上学习平台及新人到职说明,全面实施资通全安相关教育训练,2025年度总学习时数达到73小时。