資訊安全管理

資訊安全風險管理架構

本公司為管控及資訊安全環境降低資安風險,管理層面從資安制度、組織職掌、文件管控、資產管理、系統開發及維護、ERP系統營運管理、內控規範遵循等規劃督導執行。訂定「資訊安全管理辦法」,範疇含括電腦系統、資安、網路管理、軟硬體維護、備援系統、人員教育等項目,由公司資訊處負責規劃制定相關政策並落實公司資安管理措施,針對海外據點應地制宜調整,確保資訊系統正常運作及資料保全,降低資安危機。

本公司稽核處為資訊安全監理之督導單位,負責督導內部資安執行狀況,若查核發現缺失,旋即要求受查單位提出相關具體改善作法,且定期追蹤改善成效,以降低內部資安風險,每季稽核結果定期報告予董事會。近期報告日期為2023年11月09日。

資訊安全政策及具體管理方案

本公司資訊安全管理機制,包含以下四個面向:

  1. 制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
  2. 科技運用:建置資訊安全管理設備,落實資安管理措施。
  3. 人員教育:進行資訊安全教育訓練,提昇公司全體同仁資安意識。
  4. 備援系統:進行資料備份備援措施,定期災害還原演練。

管理措施說明如下:

  • 制度規範:本公司內部訂定多項資安規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。並依需求適時調整。定期執行內部稽核,以強化本公司資訊安全之作業管理。
  • 科技運用:本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。此外,為確保內部人員之作業行為符合公司制度規範,亦設計作業程序和導入資安系統工具,落實人員資訊安全管理措施。
  • 人員教育:本公司定期透過教育訓練或郵件宣導強化員工資安知識與風險意識,認識新型態駭客及詐騙攻擊手段,並教育員工發生資安事件時緊急通報與及因應處理方式。
  • 備援系統:面對日漸強大的駭客與病毒攻擊行為,為保護公司重要資料,公司及各營業據點重要資料已建立本地備份機制及雲端備份機制並每日進行備份以確保資料完整性。

本公司實施之資訊安全管理措施,包含如下:

資訊安全管理措施

類型 說明 相關作業
權限管理 人員帳號、權限管理與系統操作行為之管理措施
  • 人員帳號權限管理與審核
  • 人員帳號權限定期盤點
存取管理 人員存取內外部系統及資料傳輸管道之控制措施
  • 內/外部存取控管措施
  • 資料外洩管道之控制措施
  • 操作行為軌跡紀錄分析
外部威脅 內部系統潛在弱點、中毒管道與防護措施
  • 主機/電腦弱點檢測及更新措施
  • 病毒防護與惡意程式偵測
系統可用性 系統可用狀態與服務中斷時之處置措施
  • 系統/網路可用狀態監控及通報機制
  • 服務中斷之應變措施
  • 資料備份備援、本/異備援機制
  • 定期災害還原演練

本公司於112年11月設立資訊安全主管及資訊安全人員負責統籌、管理公司所有資安業務,並定期進行弱點掃描、防護系統有效性查核…等相關資安檢測,提供相關資安宣導及教育訓練課程,112年每月向全體員工進行資安相關宣導,共計12次。雖暫無購買資安險,但透過公司資訊處的運作及資安政策的執行與稽核處負責定期督導內部資安執行狀況,仍可提供安全無虞的資安環境,保障公司各項服務的資訊安全。後續目標則是完備各海外據點資安系統,以強化公司資安防護網。未來除了資安人才的擴充外,計畫再進行培訓及認證工作,讓公司的資訊安全在人力、能力上能更加完善,值得信賴。