資通安全治理
一、資通安全風險管理架構
為提升資通安全管理,本公司於113年3月18日經董事會指派財會行政處副總經理為資通安全暨個人資料保護專責主管,商業技術部為資通安全專責單位、各一級主管為個人資料保護代表,並作為公司、子公司及孫公司內跨部門資通安全暨個人資料保護治理、規劃、督導及推動執行。
本公司稽核室為資通安全監理之督導單位,該單位設置專職稽核人員,負責督導內部資安暨個人資料保護執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
資通安全暨個人資料保護專責單位須符合政府相關法令、規定與政策要求,使資通安全暨個人資料保護檢查制度持續穩健落實,並每年定期將資通安全暨個人資料保護治理及成果報告於董事會。
二、資通安全政策
恪遵法令訂定相關資通安全暨個人資料保護相關管理規章,對本公司資通資產及個人資料提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。
確保本公司所保管的資訊資產之機密性、完整性與可用性,以確保公司作業相關資料及檔案安全。
定期評估各種人為及天然災害對本公司資通安全暨個人資料保護之影響,並訂定重要資通資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。
三、資通安全防護及控制措施
具備下列資安防護控制措施:
防毒軟體。
網路防火牆。
如有郵件伺服器者,具備電子郵件過濾機制。
入侵偵測及防禦機制。
如有對外服務之核心資通系統者,具備應用程式防火牆。
員工到職、在職及離職管理程序依據本公司人事規章辦理,全體員工應簽署保密協議。
定期審查最高管理者帳號、使用者帳號及權限。
留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件、資料庫系統及軟體之安全性漏洞修補。
經報廢核准後之資通設備進行實物報廢時應以破壞性之方式銷毀,並確定機密性資料已刪除。
電腦裝置使用管理規範;不得安裝未經許可之軟體、電子信箱僅供收發與業務有關之信件、應避免個人行動裝置及可攜式媒體裝置。
委外廠商之資通安全責任及保密規定,於採購文件或合約中載明服務協議、資安要求及對委外廠商資安稽核權。
合約應訂明委外關係終止或解除時,廠商應返還、移交、刪除或銷毀履行契約持有之資料。
四、具體管理方案
管理事項 | 落實情形 |
電腦系統及網路安全管理 | 本公司建置防火牆並建立適當網路安全系統的基礎,提供對所有流量的必要監控和過濾,包括發送端流量、應用層流量、線上交易、通訊和連接性(如 IPSec 或 SSL VPN)及動態工作流程,提供最有效的網路攻擊保護。每台電腦安裝防毒軟體並定期更新病毒碼。 |
人員管理及教育訓練 | 資安單位每季一次以Mail做資通安全宣導,以提高員工資安的危機意識。(113年計以Mail宣導4次)公司於新進人員職前訓練時安排「資訊安全宣導及教育訓練」課程,並請資安單位設定新進人員個人權限帳號密碼,管理可存取或使用的公司內部資料庫。新進人員須簽屬保密協定,降低個人資料外洩之可能。 |
資訊資產之安全管理 | 資安單位每半年執行一次全公司軟體盤點並記錄。(113年於8月執行)稽核室每年定期查核個人資料保護情形及電腦化資訊系統循環。 |
維持營運正常 | 每年進行一次災後重建備援演練,維持其可用性及應變能力。(113年於7月31日演練) |
督導及檢討 | 資安單位預計於113年7月4日將資安情形報告董事會。資安單位於每週三部門會議及每月處級專案會議報告資安暨個人資料保護管理情形。截至目前為止,個人資料外洩之情事:0件。 |
五、資通安全管理流程圖
