資通安全

  1. 首頁
  2. 投資人專區
  3. 利害關係人
  4. 資通安全
資通安全

114年度資通安全執行成果,於114年11月4日報告董事會

資通安全管理

(一)資通安全風險管理架構

1.本公司設有資訊安全管理委員會(組織成員如下圖)。
2.由總經理擔任主任委員,負責公司資訊安全管理制度之政策及目標核准、相關事務之資源取得、分配、協調與督導。指派高階管理階層擔任管理代表,負責資安各標準制度之建置、實施與維持,資源調度等事項之協調及研議。
3.管理代表主要職責:
(1).協助主任委員建立資安政策。
(2).擔任主任委員之諮詢幕僚。
(3).掌握委員會的任務,展開P-D-C-A工作。
(4).追蹤委員會議中所決議事項。
(5).檢討執行績效,並於會議中提報。
(6).確保改善活動,持續性的展開。
4.推行委員主要職責:
(1).資安系統的維持及改善。
(2).執行管理活動或會議決議事項。
(3).提供建議或研擬可行方案。
(4).落實推行資安政策與督導資安目標之達成。
5.本公司稽核室為資訊安全監理之督導單位,設置稽核主管乙名,負責督導內部資安執行狀況。若查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

(二)資訊安全政策
1.資訊安全組織積極深化資訊安全與機密資訊保護機制以維護公司之競爭力。遵循國際資安標準與框架,明訂資訊安全政策、程序與規範,持續進行管理制度與技術的強化,並執行全方位的風險管控,以達到資訊安全管理的目標。
2.企業資訊安全組織定期執行資安風險評估,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的方法,架構多層的資安防禦,並建立資訊安全關鍵績效指標。
3.公司透過國際資訊安全認證的取得以降低資訊安全風險。且已於2024年10月取得 ISO 27001:2022 資訊安全管理系統驗證,建置完整資安標準與管理程序,確保資訊環境安全。
4.建立資訊安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
5.不定期執行資訊安全稽核作業,以確保資訊安全管理落實執行。
6.本政策資訊單位應每年至少評估一次或於組織有重大變更時重新評估,並依評估結果、相關法令、技術及業務等最新發展現況,予以適當修訂。

(三)資通安全管理方案:
1.加入資安聯盟,即時取得資安預警情資、資安威脅與弱點資訊,以掌握最新網路安全訊息及防範措施。
2.ISO27001:2022 導入
為維護公司整體之資訊安全,公司導入ISO27001相關規範,並己陸續訂定各項資訊安全相管理辦法,包括:資訊安全政策、資訊資產管理辦法、實體安全管理辦法、網路安全管理辦法、行動媒介管理辦法、存取控制管理辦法、委外資訊服務管理辦法、資料備份管理辦法、監控與防毒管理辦法、電子傳輸管理辦法、系統開發與維護管理辦法、資訊安全事故管理辦理、營運持續管理辦法、人力資源管理辦法、資訊安全績效管理辦法、資訊安全矯正措施管理辦法。
3.管理辦法執行重點
(1)人員來訪洽公及非授權人員因公務,須進出管制區域時,須由資訊人員陪同作業,並填寫『外部人員進出管制紀錄表』,以作為追溯之依據。(管制區域:機房)
(2)維修廠商進入管制區域,嚴禁獨自在管制區域內走動。
(3)重要資訊設備應使用不斷電系統,以保障市電異常時資訊設備之安全。
(4)資訊機房應設置專用空調設備以維持內部資訊設備正常運作。並需設置氣體滅火器。
(5)管制區域內重要資訊設備之進出應填寫『物品/設備攜出單』敘明其設備進出原因或目的,且需追蹤其歸還日期。
(6)外部行動媒介欲存取資料時,於使用前將該行動媒介執行掃毒程序完成後方可使用,以確保資訊作業安全。
(7)可攜式設備及儲存媒體如為部門內共用,使用者於使用完畢後,將所有資料文件移除,以避免資料遭他人誤用。
(8)使用者應負責保護密碼,維持密碼的機密性。
(9)短期(一個月)不使用之資訊設備,除特殊申請經核准外,應轉回資訊單位保管。
(10)個人電腦及伺服器暫不使用時,自動進入螢幕保護模式,並且強制設定為密碼登入之保護,除非特殊作業需求且經資訊主管核准,時間設定不可高於5分鐘。
(11)網路使用者經授權後,只能在授權範圍內存取網路資源。
(12)公司郵件伺服器,設定電子郵件自動過濾機制。
4.資訊技術
本公司在資訊安全防護上,加強軟體與硬體方面多層次防護,包含:主機與用戶端防毒、上網行為管理、防火牆阻擋、主機資料備份、網路IP管理等。
5.資訊安全宣導及改善
本公司不定期舉行資安宣導與教育訓練,並針對缺失進行改善。
114年度全體員工資通安全教育訓練項目:

項次 課程名稱 人數(次) 時數
1 資安宣導及教育訓練(含新人訓) 550 550
2 資安人員專業教育訓練(外訓) 5 12

 

(四)投入資通安全管理資源:
1.資安部現有專責人員共8名(截至114年3月)。
2.每周召開資安會議,定期檢視並討論資通安全相關議題。
3.加入資安聯盟,即時獲取預警情資(資安威脅、系統弱點等),並迅速研判、更新防護措施,掌握最新網路安全動態。
4.全面部屬SOPHOS防毒軟體,涵蓋公司所有文書電腦設備,強化端點安全防護。
5.重要系統(ERP、EIP、設計圖庫等)之數據資料庫採用群暉C2 Storage,每日進行異地備份,確保資料安全與災後復原能力。

(五)最近年度及截至年度刊印日止,因重大資通安全事件所遭受之損失,可能影響及因應措施:無此情形。

 

認證書及效期

效期 標題 檔案下載
2024/10/08 ~ 2027/10/07 ISO27001: 2022 資通安全管理系統認證書  下載