公司治理Corporate Governance

資訊安全政策及管理方案

資訊安全風險管理架構

。本公司資訊安全之權責單位為網管部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全管理規範、規劃暨執行資訊安全作業與資安政策推動與落實。本公司資訊安全管理執行情形每年定期向董事會報告。
。本公司稽核部為資訊安全監理之督導單位,該部設置稽核主管乙名,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
。組織運作模式如下圖,確保可靠度目標之達成且持續改善。

資訊安全政策及具體管理方案

本公司資訊安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)科技運用:建置資訊安全管理設備,落實資安管理措施。
(三)人員宣導:進行資訊安全宣導,提昇全體同仁資安意識。

本公司實施之資訊安全管理措施,包含如下:
(一)主管確認新進人員、合約商及第三方人員於接觸公司相關營運、交易資訊前熟知公司之資訊安全政策。每年於政策更新後重新對人員進行宣導,並要求人員遵循本政策。
(二)定期檢討資訊安全政政策,並於電子商務環境發生變動時進行檢討及更新。
(三)定期或於電子商務環境發生重大變化時,識別電子商務服務所面臨的威脅及弱點,並考量適切的管控。其中包括資產盤點、風險評鑑與產生風險處理計畫或建議。
(四)定期執行電子商務相關營運系統之帳號及權限審查。
(五)定期對公司人員執行資訊安全認知宣導。
(六)定期對公司電子商務相關網站進行弱點的識別,並採取適當措施強化。
(七)重要交易資料應定期備份,重要系統應建立備援機制。
(八)定期內部稽核,且留存紀錄並提出矯正預防措施。

投入資通安全管理之資源

資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
(一)專責人力:設有專職之企業組織「資安小組」,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
(二)客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
(三)教育訓練:全體員工皆完成資訊安全教育宣導。

資安公告:每年製作一份以上資安公告,傳達資安防護重要規定與注意事項。

給我們一個讚!