資通安全管理策略與架構
資通安全風險管理架構
企業資訊安全治理組織
本公司於民國2020年12月設立「資訊安全管理委員會」,並於 2023 年1月設立資訊安全處為獨立單位。資訊安全管理委員會下轄資訊安全處與資訊處,統籌資訊安全相關政策制定、執行、風險管理與遵循度查核,由資訊安全處最高主管每半年向董事會審計委員會彙報資安管理成效、資安相關議題及方向。
資訊安全委員會透過常態化每年一次及動態事件所召開的跨部門會議,了解、防範及處理各種資訊安全的需求。
• 資訊安全委員會開會時間為每年的 6月。
• 資安委員會議後,會議記錄呈總經理及董事會核示相關議題及決策。
資訊安全組織架構圖
資通安全政策
企業資訊安全管理策略與架構
為有效落實資安管理,透過母公司資訊安全處及集團子公司資訊單位,於2023年定期進行例行會議及資安稽核召,依據規畫、執行、查核與行動( Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期每年2次於資訊安全委員會回報執行成效 。
遵循 ISO 27001 的基礎架構規範,依照此標準實施「Plan-Do-Check-Act」 (PDCA)之循環運作規範,建立資訊安全標準實施作業
具體管理方案
系統可用性
- 1. 系統/網路可用狀態監控
- 2. 異地備援機制、資料備份備援措施
- 3. 定期災害還原演練(每年2次)
外部威脅
- 1. 病毒防護與惡意程式偵測
- 2. 電腦主機弱點掃描及系統更新
- 3. Server 主機弱點掃描
權限管理
- 1. 機房出入人員權限控管
- 2. 人員帳號及權限管理
- 3. 電腦主機軟體安裝權限控管
存取管理
- 1. 管控資訊檔案存取權限
- 2. 機密資料需經申請才能檢閱
2023 年辦理資訊安全宣導執行情形
- • 於企業員工入口網站不定期公告資安最新案例並提醒及教育員工注意。
- • 每週檢查病毒碼及微軟作業系統更新。
- • 社交工程: 釣魚郵件模擬演練(每年2次)
- • 舉辦社交工程員工教育訓練
- • 系統備份及還原演練(每年2次)
- • 實機進行軟體盤點,以確保合法使用授權軟體
- • 軟硬體資產管理系統監控
- • 電腦及網路設備使用權限管控
- 本公司截至2023年12月31日止尚無重大資安風險及事故