資通安全風險管理架構
本公司於民國112年成立「資訊安全小組」,統籌資訊安全及保護、相關政策制定、執行、風險管理與遵循制度查核。資訊安全小組由資訊部陳信儒協理擔任資安主管,另有資訊安全小組成員1人;資訊安全小組每年向董事會彙報資安管理具體管理方法及執行情形。最近一次董事會報告日期為114年3月7日。
稽核室執行年度稽核計畫,將資訊安全列入稽核重點,並將結果報告公司董事會。
資通安全政策
強化人員認知
辦理資訊安全教育訓練,推廣員工資訊安全意識與強化 相關責任之認知。
避免資料外洩
保護本公司業務活動資訊,避免未經授權的存取與修改, 確保其正確完整。
落實日常維運
每年定期進行稽核作業,確保相關規定皆能落實執行。
確保服務可用
確保本公司關鍵核心業務維持一定水準的系統可用性。
具體管理
- 精進資安管理程序:訂定資通安全管理辦法,並公告於公司內部網站,員工應遵守資安規定、遵循SOP作業。
- 依個人工作職權需求,設定帳號存取權限,由系統管理人員專責處理。
- 使用公司系統之帳號、密碼與權限應善盡保管與使用責任並定期要求更換密碼。
- 定期檢視公司ERP系統之帳號管制資訊檔案存取權限。
- 定期執行系統備份與磁帶異地存放,並定期演練災害發生時系統還原程序,以確保完整資訊可復原性。
- 公司電腦安裝防毒軟體。
- 提升資安防禦能力:不定期進行資安系統更新,並加以補強與修護,以降低資安風險。
- 定期執行資訊安全宣導作業。
- 教育訓練:進行全員資安教育訓練與詐騙釣魚郵件案例分享,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
- 法令遵循及導入國際資安認證標準:定期取得 ISO27001 資訊安全管理系統標準認證。
- 加入台灣電腦網路危機處理暨協調中心(TWCERT)。
投入資通安全管理之資源及執形情形
- 防火牆(Firewall):防火牆資安保全(偵測、監控、分析、通報、處置)。
- 防毒(Anti-Virus):防毒牆及防毒主控端病毒事件監控。
- 租用中華電信HiNet入侵防護服務。
- 加入TWCERT 台灣資安聯盟會員。
- 專責人力:設有「資訊安全小組」,由1名資安主管及1名資安人員組成。
- 國際標準認證:通過ISO27001資訊安全認證。目前證書之有效期為2022年7月5日至2025年7月5日。
- 教育訓練:113年全體員工皆完成資訊安全教育訓練及考核,計56人次。
- 資安宣導:每月進行資安宣導,傳達資安防護重要規定與注意事項,計12次。
- 個人電腦安全性更新:防毒軟體每日排程更新病毒碼,作業系統依微軟發佈不定期更新,更新率97% (未更新部份為未接網路之實驗室電腦)。
- 對外網站弱點掃描:每年執行一次。
- 113年度未有重大資安事件之發生。
