投資人專區

資訊安全風險管理

資訊安全風險管理

資訊安全風險管理架構

本公司已於108年1月底成立資訊安全風險管理架構,並設有資安專責主管1名及資安人員1名。資訊安全委員會轄下資訊安全小組,各小組負責規劃資訊安全作業、危機預防與事件處理程序、評估管理制度執行成效及程序檢討與修正等事宜,並由資訊安全組織小組列冊管理,以釐清資訊安全責任,其架構如圖所示。

資訊安全政策

資訊安全政策的訂定用以確保資訊資產之機密性、完整性、可用性及適法性,並避免遭受內外部蓄意或意外之威脅,舉凡本公司所有同仁及與本公司有業務往來之廠商、訪客等,皆應遵守本政策。藉由每年審視及評估該政策,使其符合相關法令規定及資訊業務最新發展現況,除現有資訊安全防護機制外,未來仍會持續加強網路安全及系統存取防護措施,減少資訊安全風險及可能產生之危害。

 

具體管理方案如下:

每年辦理資訊安全教育訓練及宣導作業,新進人員皆須簽定資通安全保密協定。

委外廠商須簽定保密協議,以確保使用本公司的提供資訊服務或執行相關資訊業務者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。

要求同仁帳號、密碼與權限應善盡保管與使用責任並定期更換密碼。

重要資訊系統或設備已建置適當的備份、備援或監控機制並定期演練,以維持其可用性。

建立業務持續運作管理機制,並定期測試演練,維持其適用性。

每年定期實施內部稽核,以確保資訊安全管理制度及各式資訊安全內部控管作為之有效性。

 

資訊安全管理之資源

本公司已實施ISMS資訊安全管理系統,取得ISO 27001(效期至2025年10月31日)及CNS 27001(效期至2025年10月31日)資訊安全認證,以強化資訊安全事件之應變處理能力,保護公司與客戶之資料安全。

 

考量資安險仍屬新興險種,故本公司尚未投保,但本公司現階段施行以下預防之風險管控措施:

已建置網路安全防護解決方案並依業務型態妥善進行網路區隔,降低外部攻擊及內部違規存取活動之可能。

已建置端點防護解決方案,個人電腦均安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權的軟體,降低惡意程式滲透或擴散之可能。

已針對重要服務、主機採取集中監控作為,有效早期發現攻擊徵兆並於事故發生時及早介入處置。

已制定資訊安全事件的回應及通報標準程序,由資訊安全緊急應變小組負責資訊安全事件處置,對資訊安全事件做即時處理,避免損害擴大。

 

資訊安全風險管理