永续发展专区

资讯安全管理

资讯安全管理

资通安全管理策略与架构:

  本公司为加强控管及监督资讯安全风险,保护企业资产、健全公司体质,及强化董事会职能,爰依上市上柜公司治理实务守则第二十七条之规定,于111年11月10日设置资讯安全委员会(以下简称本委员会),并订定本组织规程,以资遵循。
  资讯安全委员会成员由全体独立董事组成,计3席。本委员会成员之任期与委任之董事会届期相同,本委员会至少每年召开一次。
  本委员会之职权事项如下:
  1. 审查资讯安全管理政策、拟订资讯安全管理架构及组织功能,定期检视公司整体资讯安全管理机制之发展、建置及执行结果。
  2. 审查新业务之资讯安全管理机制。
  3. 审查年度资讯安全推动计画。
  4. 核备重大资讯安全事故损失之检讨与因应措施。
  5. 审查主管机关、董事会及各项资讯安全政策中另有规范或要求需呈报董事会之事项。

(一)资讯安全管理架构

(二)资讯安全政策

  1. 不定期检视资讯安全政策的适用性与保护措施,并检讨、执行成效。
    「规画阶段」着重企业资讯安全风险管理,从系统面、技术面、程序面执行降低企业免于资讯安全威胁及危害,并建立符合客户需求及高规格的机密资讯保护以及服务。
    「执行阶段」持续检讨、建构资讯安全防护措施、方案,并陆续导入将资讯安全防御创新技术,而将资通安全控管机制整合、建置于软硬体维运、资安管理上,在平日资通安全管理作业及系统化的监控资讯安全,维护本公司重要资产的机密性、完整性及可用性。
    「查核阶段」积极监控资安管理成效,依据查核结果进行资安指标衡量及量化分析,并透过定期模拟演练资安攻击进行资讯安全成熟度评鉴。
    「行动阶段」则以检讨与持续改善为主轴,并且落实监督及稽核,确保资安规范的持续有效性,定期进行季度资讯安全模拟演练、新进同仁资讯安全教育训练课程、举行年度资讯安全训练,资讯安全年度教育训练为公司员工必训课程,加强员工对于资讯安全意识、资讯安全宣导等以上作为改善作为,确保本公司重要机密资讯不外泄,减少资讯安全危害风险。
  2. 具体管理方案架构
    • 公司资讯系统伺服主机、员工所使用的电脑资讯设备,皆有安装防毒软体,并建置病毒防护管控系统,定期排程扫描病毒、更新病毒码。
    • 针对伺服器主机系统、电脑作业系统不定期进行弱点扫瞄并修正,以及不定期排程更新系统更新档,防堵病毒感染及作业系统漏洞引发的资讯安全风险。
    • 对外网路通讯系统,电子邮件传输有建置邮件安全防护机系统,防堵垃圾邮件、防止恶意邮件攻击以及邮件内夹带病毒、可疑网址防堵。
    • 网际网路连结闸道进出口端,经由防火墙设备作进出网路监控及管制,针对网路封包透过入侵侦测设备管理,防护网际网路对公司内部网路服务连线,监控不正常行为封包,进行资通安全防护。
    • 网页浏览安全监控,员工连结网际网路浏览网页进行网页资安监控,扫瞄可疑网站是否带有病毒、病毒程式,防范电脑浏览网页中毒。
    • 不定期举行员工电脑设备操作、资讯安全教育训练,提升员工资讯安全防护意识,并且落实最安全、严谨、缜密的资通安全障。
  3. 投入资讯安全管理之资源,资讯安全推动成果