資訊安全管理政策、組織及運作執行情形

政策目的

1.   確保公司資訊資產(包括軟體系統、硬體設備、網路通訊設施及資料庫等)正常運作之安全控管，避免因為人為的網路威脅或自然災害破壞等風險。

2.    營運持續管理、持續監督及審查，藉以落實控制制度與維護資訊安全政策使公司治理結構及營運執行上所需的重要系統能有效運作，俾提供更穩定、更安全、更優質的資訊服務。

3.    就核心業務及核心資訊安全管理系統範圍內鑑別資訊資產在機密性、完整性及可用性其可能遭遇之資安風險，執行風險評鑑。

4.    訂定資訊系統處理之相關作業辦法，以落實內部控制制度與維護資訊安全政策。

政策目標

1.     經營面：維護公司資訊資產之機密性、完整性及可用性，保障公司、使用者、客戶、供應商資料隱私之安全。

2.    機密性：保護公司資訊資產之安全，需經由授權才能存取資訊，確保機密性。

3.    完整性：保護公司資訊資產之安全，避免未經授權之修改變更，確保正確性與完整性。

4.    可用性：保護公司資訊資產之安全，系統需經由授權在需要時取得，確保可用性。

5.    意識面：確保公司資訊服務之執行，符合資安驗證標準及國家相關法令或法規之要求，讓使用者、客戶、供應商了解在資安制度上應該遵守之責任及義務。

資訊安全組織架構

成立資訊安全組織並區分角色與責任是為了有效推動公司資訊安全之各項工作。

角色與責任

1.     管理階層/總經理(召集人)：核准資訊安全管理系統之範圍、政策、跨部門協調與高階管理階層決策，審核資訊安全政策與目標。

2.    資安組織由資訊部門兼任:設置資訊安全主管1人由資訊部主管兼任，資訊安全人員1人由網管工程師兼任。

*資安專責主管(副召集人)：襄助召集人，維護資訊安全政策與目標，資訊安全制度之規劃、監控及執行各項資訊安全管理作業。

*資訊安全執行人員：負責流程執行時所需之文件、記錄等之研擬、維護、發行、管制等之管理工作，資訊安全教育訓練與演練、制度溝通、研習訓練活動及政令宣導。

3.資訊安全稽核：負責稽核資訊安全組織，追蹤及管理各項制度改善需求，確保獲得實質改善，降低內部資安風險。

管理機制

1.遵循資訊安全管理系統 (ISMS)資安框架建立資安政策制度。

2.制定資安管理制度，規範管制使用者作業行為。

3.制定資通資產管制，落實資通資產管理措施。

4.制定人員資安訓練，提升使用者資安意識。

管理措施

1.訂定資安制度規範內部與外部人員資安行為，檢視是否符合營運變遷，適時調整。

2.資訊網路建置採行資訊安全防護，提升使用者資訊作業整體環境之安全性。

3.藉由資訊安全教育郵件通知、人員教育訓練會議藉以提升使用者資安知識。

管理目的

1.落實資訊安全政策

2.遵循內稽內控及法規與政令要求

3.強化資訊安全教育及使用者應變能力

4.達成資訊安全管理有效之管理管制

資訊安全管理執行情形

1.     加入台灣電腦網路危機處理暨協調中心、SECPAAS資安整合服務平台，隨時注意資安事件通報更新公司資安系統。

2.    每年花費在資訊安全軟體及硬體約新台幣1,000,000元整。

3.    所有新進員工皆簽署” 人員資訊安全守則”，以確保遵循資訊安全政策，2024年截至11月份共新進22人次簽署。

4.    資訊安全小組不定期向集團中各個公司，以MAIL方式宣導資訊安全相關規定與案例，2024年度迄今共計超過6,300人次。資訊安全小組每個月定期開會一次。

5.    資訊安全小組每年執行資訊安全自行評估。

6.    資訊部每年定期執行資訊安全稽核，資訊安全稽核前後均會有啟動及結案討論。

7.    內部稽核人員與資訊部人員每年至少聯合執行資訊安全稽核一次。

8.   以ISO 27001作為資訊安全管理框架並實施資訊安全管理系統(ISMS)，每年均受客戶實地或以問卷方式或以SecurityScorecard進行第三方資安驗證。