投資人專區

公司治理

資訊安全風險管理架構

為強化本公司內部資訊安全管理,確保資訊資產的機密性、完整性及可用性及資訊業務持續運作之資訊環境,以符合國內相關法規之要求,使其免於遭受內、外部的蓄意或意外之資訊安全事件之威脅,特訂定此管理辦法。
本公司112年資訊安全管理執行情形,均依據公司訂定之管理辦法與相關管理辦法,進行管理與維護工作,截至目前無發現重大缺失,並提112年12月27日董事會報告。

投入資通安全管理之資源 

資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:

●專責人力:2人(資安主管:游荐崴/系統工程師:許家慶),並設有專職之企業組織「資訊安全部」,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。 

●資訊教育訓練會議:所有新進員工到職前皆完成資訊安全教育 

  訓練課程;全體員工(60/人)皆完成一次資訊安全教育 

  訓練((1/H);年度共計執行一次社交工程釣魚郵件測試。  

●資安公告:定期發佈資安公告,傳達資安防護重要規定與注意事項。

壹、資訊安全風險管理架構

I.組織:

資訊單位為資訊安全的主要管理單位,負責訂定與實施相關政策與具體管理方案,稽核室為督導、檢察單位。

II.程序:

i.發生資訊安全問題時的通報程序:

ii.處理流程:

1. 初級:各單位發生初級資訊安全問題,通報給資訊單位進行原因分析、解決。例如個人電腦中毒。

2. 中級:如發生較大範圍的電腦中毒、防火牆遭到攻擊等,需通報到副總經理並聯繫委外維護廠商進行修復。

3. 高級:如公司遭駭客入侵、伺服器損毀等,需通報到董事長,聯繫委外維護廠商進行修復、啟動異地備援回復。

iii.矯正及預防:

1. 將發生以及潛在之資訊安全問題,採取相關的矯正及預防措施。

貳、資訊安全相關政策

I.相關管理辦法與相關政策:

i.ISO SAP-08辦公室管理辦法:維持電腦正常運作。

ii.ISO SFP-10公司財產管理辦法:使財產得以確實管理。

iii.個人資料保護管理辦法。

iv.資訊安全管理通則:資訊安全政策訂定與實施。

參.資訊安全具體管理方案

I.管理措施:

i.權限控管:

1. 公司所有電腦都必須加入公司網域管理,並依照部門職責、職級設定相關權限。

ii.存取管控:

1. 系統資料存取都須依照部門職責、職級設定相關存取權限。公司內部資料夾檔案存取也都依照不同部門需求、部門職責歸屬來設定相關存取權限。

2. 如有需要遠端連線進入公司網域都需要填寫「軟體及網路帳號使用/異動申請單」經過核准才能由資訊單位開通。

iii.外部威脅:

1. 一般使用者不可自行安裝軟體,須由資訊單位安排協助安裝作業。個人進入網域、系統密碼必須定期變更,或使用雙重驗證來保護。

iv.系統可用性:

1. 公司伺服器內重要資料每日進行備份,機房的環境(如溫、濕度)每日進行監控,以確保所有資訊設備都在安全、符合標準的環境中使用。

II.風險控管:

i.每年進行乙次災害復原演練,以確保所有備援資料能立即回復使用。

ii.發生網路異常時,檢視防火牆狀況。如發現有異常狀況,則啟動資訊安全問題的通報處理流程來進行問題排除。

iii.公司電子郵件信箱委外服務商都有進行監控,察看有無異常收發信件。啟動垃圾廣告或不當來源信件阻絕的功能,避免員工的電子信件遭受惡意程式植入而發出病毒郵件或接收到釣魚郵件。

III.教育訓練:

i.發送如最近外部重大資訊安全新聞或內部重大資訊安全問題的狀況,提醒所有員工需加強關注,以防止類似問題再次發生。

本辦法經董事長核准通過後實行,修正時亦同。
本辦法第一次訂定於民國109年08月20日