資通安全風險管理

• 資通安全風險管理架構

資通安全為本公司推動資訊化作業的目標之一，由執行長室的資通安全主管負責制定及推行資訊安全政策；並配置資安專責人員負責執行資訊作業安全管理規劃，建置與維護資訊安全架構。透過定期的資通安全檢核及稽核室依其排定之稽核計畫查核資訊安全政策之實施情形；以確保資訊安全管理體系持續運作的適用性、適切性及有效性。
 

• 資通安全政策

本公司的資通安全政策涵蓋本公司及海外子公司。本公司資通安全政策制定的目的，以提供可茲依循之企業資訊安全指導大綱及方向，明確定義本公司資通安全管理之目標，並作為本公司各部門規範所管轄業務安全責任之指導原則。強化資通安全管理，確保資訊資料、系統、設備及網路通訊之安全，以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資訊資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險，並符合「公開發行公司建立內部控制制度處理準則」第九條、「上市上櫃公司資通安全管控指引」要求，確保資訊資產之機密性、完整性與可用性。
 

• 具體管理方案

資安管理策略主軸著重於資安防護、法令遵循及管理程序來進行，推行的具體管理方案如下:

1. 提升資安防護能力：除基礎建置的企業防火牆之外；也透過網路安全監控 (NSM)偵測與分析，預防資安漏洞帶來的風險；預先補強與修復，以降低資安風險。
2. 增進網路、端點及應用系統安全：各端點皆部署防毒軟體，以增進異常偵測及防護能力。導入MPLS VPN來管控端點，以精進網路與應用系統安全。
3. 法令遵循：本公司遵循由行政院公告的資通安全管理法施行細則。
4. 教育訓練：全體員工每年應受資安教育訓練，及與不定期宣導的資安資訊。同時不定期進行社交工程釣魚郵件測試，以提升資安意識。

 

• 投入資通安全管理之資源

資通安全為公司營運的重要議題，對應資安管理事項及投入之資源重要議題，投入資源方案如下：

1. 專責人力：設有專責的資通安全人員，負責公司資訊安全規劃、技術導入及教育訓練的辦理，以維護及持續強化資通安全。
2. 教育訓練：全體員工每年應受資安教育訓練。
3. 資安公告：不定期發送資安公告，來傳達資安防護重要規定與注意事項。