鑑於近年來電腦及網際網路應用之普及,為確保公司有關資料、資訊系統、設備及網際網路之安全,特訂定資訊安全管理作業規範,作為全體員工資訊安全方面之依據。
公司組建資通安全處理小組來統籌本公司資訊安全管理等事項之協調、規劃、稽核及推動。
小組成員由資訊單位組成,必要時會請各單位協助處理。
資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊專員負責辦理,資訊室為非隸屬使用者單位之獨立部門。
資訊機密維護及安全稽核等事項,由資訊單位協同管理單位辦理。
為確保資訊處理之正確性、所使用事物機器(包括電腦硬體、軟體、週邊)及網路系統之可靠性,並確保各項資源免受任何因素之干擾、破壞、入侵或任何不利之行為,經由適當的系統規劃、程序規範及行政管理的相互配合,以防範來自內、外部的威脅,達到維護系統安全的目的。
人員資訊安全管理、責任及教育訓練。
電腦系統安全管理。
網路安全管理。
系統存取控制。
教育訓練。
系統發展及維護之安全管理。
資訊資產之安全管理。
實體及環境安全管理。
業務永續運作計畫之規劃與管理。
網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾等。
軟體系統如端點防護系統、VPN認證等。
電信服務如備援線路、UTM入侵防護服務等。
投入人力如: 每日系統狀態檢查、每週定期備份執行、資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
資安人力: 組建資通安全處理小組,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,每年向董事會至少報告一次。
公司目前無重大事件導致營業損害
資訊安全政策與相關規範不定時檢討評估,以反映政府法令
資訊人員進行資安課程進修,確保技術及業務最新發展現況
總結整體的資訊風險為低風險,對財務及業務的影響小,亦對營運沒有產生重大的風險。將持續改進並以 TWCERT/CC 發佈的公告做為參考,參考國際標準制定資安KPI完善資安拼圖。