資訊安全風險管理架構
本公司為加強資訊作業安全與管理,特設置跨部門之資訊安全委員會,擬定資訊安全管理政策、推動「資訊作業辦法」、協調跨部門資訊處理作業流程、審議本公司資通安全政策及執行成果、並定期向董事會報告公司資安治理概況。 資訊安全委員會組織架構如下:
資訊安全政策目標
確保資訊資產的機密性、完整性與可用性,保障使用者資料隱私
確保公司各項資訊作業系統之正常運作,維護網路資訊安全,保障公司各項電腦化處理資料之稽密性與完整性,凡資訊需求管理、系統開發及程式修改、編制系統文書、程式及資料之存取、資料輸出入、資料處理、電腦檔案及設備之安全管理、硬體及系統軟體之購置、使用及維護、系統復原計劃制定及測試程序、資訊通訊安全管理、系統或mail帳號密碼申請等均屬資訊安全管理範圍。
資訊安全委員會
內、外稽
各部門
|
|
本公司實施之資訊安全管理措施
資訊安全管理措施
類型 | 說明 | 相關作業 |
---|---|---|
權限管理 |
各系統帳號、權限的管理 |
|
存取管理 |
存取內外部資料、信件傳送、過濾控制 |
|
外部防範 |
網路安全、防毒軟體、委外及協力廠商 |
|
系統修復 |
系統使用狀態、中斷連線之處置措施 |
|
資料庫管理 |
資料庫備份 |
|
本公司資訊系統緊急應變計劃如下,資安事故之通報與處理,皆遵守該程序之規範進行。
112年執行情形說明
1. 本公司自108年9月成立「資訊安全委員會」後,每季定期召開資訊安全委員會議,112年度共召開4次。( 3∕9 、7∕6 、9∕14 、12∕7)。
2. 112年度執行重要資安議題、事件,包括設備故障演練、社交工程演練、非法軟體查核、資安風險評估、提升資安能力…等。
3. 依金管會規定,已於112年配置一名資訊安全主管、一名資訊安全人員。
4. 資訊安全執行情形已於112年12月22日第七屆第17次董事會報告。