資訊安全風險管理架構
本公司為加強資訊作業安全與管理,特設置跨部門之資訊安全委員會,擬定資訊安全管理政策、推動「資訊作業辦法」、協調跨部門資訊處理作業流程、審議本公司資通安全政策及執行成果、並定期向董事會報告公司資安治理概況。 資訊安全委員會組織架構如下:
資訊安全政策目標
資通安全政策
「落實資訊安全,降低資安危害,增加客戶信賴,提升營運績效」
為強化資訊安全管理使管理制度能有效運行,確保所屬之資訊資產的機密性、完整性及可用性,特定以政策規範以提供本公司業務持續運作之安全管理,達到永續經營目的,並符合相關法規之要求
本公司正積極導入並建立完整的資訊安全管理系統(ISMS),建立跨單位之資訊安全組織,確保業務持續運作之可用性,執行資訊安全風險評估機制,提升資訊安全管理之成效,落實資訊安全內部稽核制度,確保資訊安全管理實施之有效性,協助集團之業務持續發展與永續運作,執行業務活動須符合政策及法令法規要求,透過持續性的規劃—執行—查核—行動確保制度有效運作,且活動有文件或系統紀錄,所有意外或異常應依照程序進行評估與確認。
本公司實施之資訊安全管理措施
資訊安全管理措施
| 類型 | 說明 | 相關作業 |
|---|---|---|
|
權限管理 |
各系統帳號、權限的管理 |
|
|
存取管理 |
存取內外部資料、信件傳送、過濾控制 |
|
|
外部防範 |
網路安全、防毒軟體、委外及協力廠商 |
|
|
系統修復 |
系統使用狀態、中斷連線之處置措施 |
|
|
資料庫管理 |
資料庫備份 |
|
本公司資訊系統緊急應變計劃如下,資安事故之通報與處理,皆遵守該程序之規範進行。
投入資通安全管理之資源及執行情形說明
1. 本公司自108年9月成立「資訊安全委員會」後,每季定期召開資訊安全委員會議。
2. 113年度共召開4次。( 3/7 、6/6 、9/5 、12/12)。
3. 113年度執行重要資安議題、事件,包括設備故障演練、社交工程演練、資安教育訓練、權限帳號檢核、非法軟體查核、資安風險評估…等。
4. 112年通過資訊安全委員會決議,113年正式導入ISO 27001:2022,已於10月完成內部稽核,11/15召開管審會議。
5. 依金管會規定,已於112年配置一名資訊安全主管、一名資訊安全人員,113年取得修業證明,符合主管機關要求。
6. 資訊安全執行情形已於113年12月21日第八屆第5次董事會報告。
資安事件狀況
113年未發生重大之資安事件,亦無因機密資訊洩漏影響客戶與員工的個資,以及遭受罰款之情事。
ISO 27001:2022證書
