資通安全治理

一、資通安全風險管理架構

  • 為提升資通安全管理,本公司於113年3月18日經董事會指派財會行政處副總經理為資通安全專責主管,商業技術部為資通安全專責單位,並作為公司、子公司及孫公司內跨部門資通安全治理、規劃、督導及推動執行。

  • 本公司稽核室為資通安全監理之督導單位,該單位設置專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

  • 資通安全專責單位定期在經管會中提出資通安全落實情形,使資通安全檢查制度持續穩健落實,並每年定期將資通安全治理及成果報告於董事會。

二、資通安全政策

  • 恪遵法令訂定相關資通安全管理規章,對本公司資通資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。

  • 確保本公司所保管的資訊資產之機密性、完整性與可用性,以確保公司作業相關資料及檔案安全。

  • 定期評估各種人為及天然災害對本公司資通安全之影響,並訂定重要資通資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。

三、資通安全防護及控制措施

  • 具備下列資安防護控制措施:

  1. 防毒軟體。

  2. 網路防火牆。

  3. 如有郵件伺服器者,具備電子郵件過濾機制。

  4. 入侵偵測及防禦機制。

  5. 如有對外服務之核心資通系統者,具備應用程式防火牆。

  • 員工到職、在職及離職管理程序依據本公司人事規章辦理,全體員工應簽署保密協議。

  • 定期審查最高管理者帳號、使用者帳號及權限。

  • 留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件、資料庫系統及軟體之安全性漏洞修補。

  • 經報廢核准後之資通設備進行實物報廢時應以破壞性之方式銷毀,並確定機密性資料已刪除。

  • 電腦裝置使用管理規範;不得安裝未經許可之軟體、電子信箱僅供收發與業務有關之信件、應避免個人行動裝置及可攜式媒體裝置。

  • 委外廠商之資通安全責任及保密規定,於採購文件或合約中載明服務協議、資安要求及對委外廠商資安稽核權。

  • 合約應訂明委外關係終止或解除時,廠商應返還、移交、刪除或銷毀履行契約持有之資料。

四、具體管理方案

管理事項

落實情形

電腦系統及網路安全管理

本公司建置防火牆並建立適當網路安全系統的基礎,提供對所有流量的必要監控和過濾,包括發送端流量、應用層流量、線上交易、通訊和連接性(如 IPSec 或 SSL VPN)及動態工作流程,提供最有效的網路攻擊保護。

每台電腦安裝防毒軟體並定期更新病毒碼。

人員管理及教育訓練

資安單位每季一次以Mail做資通安全宣導,以提高員工資安的危機意識。(112年計以Mail宣導4次)

公司於新進人員職前訓練時安排「資訊安全宣導及教育訓練」課程,並請資安單位設定新進人員個人權限帳號密碼,管理可存取或使用的公司內部資料庫。

資訊資產之安全管理

資安單位每半年執行一次全公司軟體盤點並記錄。(112年於8月執行)

維持營運正常

每年進行一次災後重建備援演練,維持其可用性及應變能力。(112年於7月31日演練)

督導及檢討

資安單位預計於113年7月4日將資安情形報告董事會。

資安單位於每週三部門會議及每月處級專案會議報告資安管理情形。


五、資通安全管理流程圖

本網站使用cookies以提昇您的使用體驗及統計網路流量相關資料。繼續使用本網站表示您同意我們使用cookies。 了解更多資訊,請詳閱 隱私權政策