公司治理
- 首頁
- 投資專區
- 公司治理
- 資訊安全管理
資訊安全管理
隨著科技發展,企業所面臨之資訊安全風險日益增加,本公司亦相當重視資訊安全與機密資訊的保護。為確保公司內電腦資訊、資料、系統、設備及網路之安全,避免因人為疏失、蓄意破壞,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉或損及公司營運,本公司制定「資訊安全政策」供全體同仁共同遵循,同時不定期宣導提升員工的資安風險與意識。
資通安全風險管理架構
本公司已建立由上而下的治理框架,以監督資訊安全管理,確保問責性、透明度及有效的風險監督。
- 資訊安全委員會
委員會由總經理擔任主席,並由相關部門高階主管組成。委員會每年召開會議,審查策略、評估風險態勢,並監督安全措施的有效性。
- 資訊安全長(CISO)
由資訊部門主管擔任,CISO負責協調資訊安全管理、報告風險狀況,並支持持續改善工作。
- 支援團隊
- 資安事件應變小組:處理事件通報、遏制、調查與復原,並進行定期演練。
- 安全管理小組:監督日常安全營運、訓練、政策執行與稽核追蹤。
- 內部稽核小組:執行稽核、評估合規性,並提供改善建議。
資通安全政策
本公司資通安全政策涵蓋
- 資訊風險管理:定期識別資訊資產與潛在風險,確保關鍵業務系統的安全性。
- 存取控制:採用最低權限原則,確保僅授權人員可存取資訊。
- 系統與網路安全:實施入侵偵測與防禦機制,防範未授權存取。
- 資安教育訓練:每年舉辦員工資安意識提升活動,強化防範能力。
資訊外洩處理措施
- 通報內部資安團隊,進行影響評估。
- 採取必要技術措施阻止外洩,如停用帳戶、封鎖受影響系統。
- 向主管機關及受影響客戶提供詳細報告。
惡意軟體攻擊應對
- 啟動惡意軟體隔離機制,防止內部感染擴散。
- 強制受影響設備重新安裝作業系統與安全補丁。
- 針對事件進行分析,提升資安防禦能力。
具體管理方案及投入資通安全管理之資源
資安事件管理機制
本公司建立明確的資安事件通報機制,確保事件發生時能迅速應對並降低影響。
| 等級 | 事件類型 | 影響範圍 | 應變措施 |
|---|---|---|---|
| 第一級 | 可疑行為、釣魚郵件、單一設備惡意軟體感染 | 影響單一用戶 | 內部記錄,分析根本原因,確保事件可追蹤 |
| 第二級 | 多帳號異常、中小型 DDoS、內部未授權存取 | 影響部分業務系統 | 啟動應變機制,隔離影響系統,報告管理層 |
| 第三級 | 關鍵系統攻擊、勒索軟體、數據外洩 | 影響核心業務 | 啟動業務持續計畫(BCP),向主管機關報告 |
| 第四級 | 國家級攻擊、大規模數據洩露 | 影響全企業 | 啟動危機處理計畫,通報監管機構,全面應變 |
員工資安意識提升
本公司積極推動資安教育,確保所有員工具備基礎資安知識與風險應對能力。
- 新進員工:必須完成資訊安全基礎訓練課程。
- 全體員工:每年至少參加一次資安訓練,包括模擬釣魚郵件測試。
- 高風險部門(如IT、財務、人資):須額外接受進階資安課程。
113年度舉辦全體員工資安認知教育訓練課程,教育訓練總時數計382小時,課程主要說明社群軟體使用安全與防護及相關案例分享與使用電子郵件的安全守則,並於課後將課程內容公告於E-learning系統,供未選修員工進行觀看。
資安投資與基礎建設
本公司持續投入資源強化資訊安全管理,包含:
- 強化防火牆與網路安全監控機制。
- 定期進行滲透測試與漏洞掃描,確保系統安全。
- 郵件系統增設多因素驗證(MFA),提升存取安全性。