利害關係人
Stakeholder
資安政策
資訊安全治理組織
本公司於民國112年設立「資訊安全政策」,由資訊室統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。
資訊安全組織架構
資通安全政策
本公司由資訊室負責推行及落實本規定之「資訊安全政策」,其內容包括人員管理及資訊安全教育訓練、電腦系統安全管理、網路安全管理、系統存取控制、應用系統開發及維護安全管理、資訊資產安全管理、實體及環境安全管理、業務永續運作計畫之規劃與管理、資訊安全稽核等。
具體管理方案
| 類別 | 說明 | 相關作業 |
|---|---|---|
| 權限管理 | 人員帳號、權限管理、與系統操作行為之管理措施 |
●人員帳號權限管理與審查。
●人員帳號權限定期盤點。 |
| 存取管理 | 人員存取內外部系統、及資料傳輸管道之控制措施 |
●內、外部存取管控措施。
●資料外洩管道之控制措施。 ●操作行為軌跡紀錄分析。 |
| 外部威脅 | 內部系統潛在弱點、中毒管道、與防護措施 |
●伺服器、電腦弱點檢測及更新措施。
●病毒防護與惡意程式偵測。 |
| 系統可用性 | 系統可用狀態、與服務中斷時之處置措施 |
●系統、網路可用狀態監控及通報機制。
●服務中斷之應變措施。 ●資料備份備援措施及本、異地備援機制。 ●定期災害還原演練。 |
投入資通安全管理之資源
本公司每年持續投入資源於資訊安全事務,包含強化資安防禦設備、改善資安管理制度與教育訓練、設置資訊安全主管一位與資訊安全人員一位,113年資訊安全會議一次,從管理面到技術面整體落實,增進資訊安全能力。對於事件的預防,除了每年執行資訊層面的企業持續營運演練外,針對重要系統資料,每週執行備份、保管與測試,皆納入資安例行作業中。 本公司各項資訊系統主機皆無聯結外部網路,並從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並定期進行資訊安全測試,惟公司官網設置之虛擬主機係由外部第三方資訊公司進行管理,為確保資通安全事件之應變處理能力,保護公司及客戶之資產安全,本公司定期向管理虛擬主機之外部第三方資訊公司確認其資通安全管理系統符合ISO27001之認證標準,且該外部第三方資訊公司已取得ISO27001認證證書,證書有效期間為2023年10月1日至2026年9月30日。
