資訊安全

資訊安全

 

1.資通安全組織:

本公司設立資通安全委員會組織架構,由事業單位最高主管擔任主委,次高主管擔任副主委,資安最高主管擔任資安常委,總幹事由資安主管擔任,執行幹事由各部門主管擔任,定期召開管理審查會議,制訂與檢討資通安全管理目標及政策。為落實資通安全管理政策有效推動,資安組織下設立流程維運組、稽核組、教育訓練組、緊急應變組,由各職能部門的資深管理人員擔任,以推動資通安全管理審查會議決議之資通安全作業,促使資通安全管理系統能深入持續穩健運作。

 

2.資通安全政策:

本公司資通安全政策為「維護公司之資訊機密性、完整性、可用性與適法性,避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情形,影響公司作業或損及公司權益」。

歷年來遵循資安政策要求、定期執行資通安全宣導、員工資通安全教育訓練等,為更適切符合國際資通安全管理趨勢及回應客戶資通安全要求,於20193月通過ISO/IEC 27001:2013國際資訊安全管理標準之驗證稽核,並於20223月完成換證審查取得證書有效期至2025315日。本公司致力於保護客戶資料及公司智慧財產,透過導入ISO/IEC 27001:2013資訊安全管理系統,落實資通安全政策並強化資通安全事件應變能力。

 

3.資安風險控制:

網路攻擊手法日新月異,資訊系統無法完全避免來自任何第三方的癱瘓式網路攻擊,網路攻擊可能透過電子郵件、網路釣魚、暴力破解等手法,將惡意程式植入公司內部網路進行破壞或資料竊取。破壞式的攻擊可能導致本公司生產營運中斷,資料竊取式攻擊可能造成重要的營運資料或員工、客戶等個人資料洩漏。公司積極的規劃部署資通安全措施,不斷改善資通安全環境,降低資通安全風險。管理上從政策制度、組織職責、人力安全、文件管控、資產管理、通訊與作業管理、存取控制、實體環境、系統開發與維護、營運持續管理、安全事件管理、法規遵循性等方面制訂相關管理規範;技術上部署網路防火牆、入侵檢測系統、郵件安全系統、作業系統自動偵測及更新、病毒防護系統、網路准入系統、安全監控系統及弱點掃描系統等。每半年有內部及外部專業稽核人員、組織對公司資通安全管理系統進行稽核,每年對資安運作狀況,風險控制及事件改善進行評審,並呈報至資安委員會,以控制及降低資安風險。

 

4.員工資安訓練:

公司在新人入職時進行基本的資通安全教育訓練。對在職人員通過定期的資安教育訓練、海報、影片宣導強化員工的資安意識。對內部資訊稽核發現的問題,透過矯正預防流程即時進行資通安全管控,減少員工洩漏公司及客戶機密資訊;當資通安全事件發生時,立即進行資安通報,強化公司資通安全成熟度,提高員工防範外部惡意攻擊的意識等,為公司生產經營活動提供資通安全保障。

 

5.本公司2022年未發生任何衝擊公司營運的重大網路攻擊事件。