資訊安全政策管理 Information security policy management
- 資訊安全風險管理架構 :
資訊安全風險管理架構
為因應科技環境迅速變遷及業務多元化發展、有效保護公司及客戶營運資訊與提供良善的資訊安全治理,以保護公司與相關之利害關係人之資訊資產之安全,本公司於2022年設立資訊安全委員會,推行ISO27001資訊安全標準規範,並取得相關資訊安全之國際認證。
- 資訊安全管理組織
為提升公司整體資訊服務管理績效,確保資訊與業務需求之一致性,並有效管理資訊安全工作,設立資訊安全委員會。由管理部副總經理擔任主任委員,執行秘書由資訊部門最高主管擔任,資訊安全委員會之下並設定資安推動小組、內部稽核小組及緊急應變小組 。依照資訊安全策略方針及本公司之營運需求、法令異動、客戶安全需求、技術變遷及可接受風險評鑑等因素,審議與修訂本公司資訊安全政策與規範。
組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。稽核室依照每年年度稽核計畫之資通安全檢查稽核項目進行稽核,並呈報至董事會。
- 資訊安全政策
1.成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
2.定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
3.建立主機及網路使用之管理機制,以統籌分配、運用資源。
4.新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況 發生。
5.建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
6.明確規範網路系統之使用權限,防止未經授權之存取動作。
7.訂定資訊安全管理系統內部稽核計畫,定期檢視資訊安全管理系統範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
8.訂定營運持續管理規定並實際演練,確保本課業務持續運作。
9.維持資訊安全,遵守相關之資訊安全管理規範。
10.資訊安全管理系統文件應有明確之管理規範。
- 投入資通安全管理之資源
對於新興惡意威脅之防護,本公司增強資訊安全相關建設
- 建立網路實體隔離及監管機制,有效防杜外來威脅
- 建置防毒系統及主動防禦告警平台,強化監控已知及未知的資訊安全威脅。
- 建置伺服器備援平台及多重備份系統。
- 持續落實資安教育及案例宣導,列入員工教育訓練必修課程,提升員工資安意識。
5.適時修訂各項風險因子及因應作為,強化公司內部的資訊安全。
6.各項資安會議召開、資訊安全教育訓練、資安演練:
2023年已召開資訊安全管理審查會議2次,資安風險評鑑會議3次,資訊安全內部稽核計畫會議1次,資安月報與季報會議16次,全廠社交工程演練1次,全廠資安案例宣導與訓練8次。
7. 本公司2023年投入資訊安全相關費用金額為新台幣5,453千元
- 資訊服務持續營運計畫
為確保資訊服務遭受突發重大災害時,能透過採取正確之應變措施,對業務衝擊降至最低,並於最短時間恢復運作,本公司已制定資訊服務持續管理計劃,每年進行演練與檢討,以保持應變能力與公司持續運作。