公司治理
- 首頁
- 投資專區
- 公司治理
- 資訊安全管理
資訊安全管理
隨著科技發展,企業所面臨之資訊安全風險日益增加,本公司亦相當重視資訊安全與機密資訊的保護。為確保公司內電腦資訊、資料、系統、設備及網路之安全,避免因人為疏失、蓄意破壞,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉或損及公司營運,本公司制定「資訊安全政策」供全體同仁共同遵循,同時不定期宣導提升員工的資安風險與意識。
資通安全風險管理架構
本公司已建立完整的資通安全風險管理架構,以確保資訊資產的機密性、完整性及可用性,並降低營運風險。
| 單位 | |
|---|---|
| 資通安全組織 | 由總經理擔任召集人,負責資通安全政策的制定、風險管理及遵循度查核。每年定期召開會議,檢討資通安全措施執行情形 |
| 資安專責主管 | 監督資安團隊,確保策略與政策的落實。定期向董事會及高層管理層報告資安狀況 |
| 資安應變小組 | 負責資安事件的偵測、應變與通報。確保事件發生時能即時啟動損害控制與事故復原作業 |
| 資安維運與政策推行小組 | 負責日常資安維護、風險評估與教育訓練。監督系統與網路安全運行狀態,確保符合內外部標準 |
| 資安查核小組 | 執行內部稽核,確保政策有效落實。檢視資安管理與事件處理流程,提供改善建議 |
資通安全政策
本公司資通安全政策涵蓋:
- 資訊風險管理:定期識別資訊資產與潛在風險,確保關鍵業務系統的安全性。
- 存取控制:採用最低權限原則,確保僅授權人員可存取資訊。
- 系統與網路安全:實施入侵偵測與防禦機制,防範未授權存取。
- 資安教育訓練:每年舉辦員工資安意識提升活動,強化防範能力。
資訊外洩處理措施
- 通報內部資安團隊,進行影響評估。
- 採取必要技術措施阻止外洩,如停用帳戶、封鎖受影響系統。
- 向主管機關及受影響客戶提供詳細報告。
惡意軟體攻擊應對
- 啟動惡意軟體隔離機制,防止內部感染擴散。
- 強制受影響設備重新安裝作業系統與安全補丁。
- 針對事件進行分析,提升資安防禦能力。
具體管理方案及投入資通安全管理之資源
資安事件管理機制
本公司建立明確的資安事件通報機制,確保事件發生時能迅速應對並降低影響。
| 等級 | 事件類型 | 影響範圍 | 應變措施 |
|---|---|---|---|
| 第一級 | 可疑行為、釣魚郵件、單一設備惡意軟體感染 | 影響單一用戶 | 內部記錄,分析根本原因,確保事件可追蹤 |
| 第二級 | 多帳號異常、中小型 DDoS、內部未授權存取 | 影響部分業務系統 | 啟動應變機制,隔離影響系統,報告管理層 |
| 第三級 | 關鍵系統攻擊、勒索軟體、數據外洩 | 影響核心業務 | 啟動業務持續計畫(BCP),向主管機關報告 |
| 第四級 | 國家級攻擊、大規模數據洩露 | 影響全企業 | 啟動危機處理計畫,通報監管機構,全面應變 |
員工資安意識提升
本公司積極推動資安教育,確保所有員工具備基礎資安知識與風險應對能力。
- 新進員工:必須完成資訊安全基礎訓練課程。
- 全體員工:每年至少參加一次資安訓練,包括模擬釣魚郵件測試。
- 高風險部門(如IT、財務、人資):須額外接受進階資安課程。
113年度舉辦全體員工資安認知教育訓練課程,教育訓練總時數計382小時,課程主要說明社群軟體使用安全與防護及相關案例分享與使用電子郵件的安全守則,並於課後將課程內容公告於E-learning系統,供未選修員工進行觀看。
資安投資與基礎建設
本公司持續投入資源強化資訊安全管理,包含:
- 強化防火牆與網路安全監控機制。
- 定期進行滲透測試與漏洞掃描,確保系統安全。
- 郵件系統增設多因素驗證(MFA),提升存取安全性。