投資人專區INVESTMENT

公司治理專區 Corporate governance

資通安全風險管理架構

1.本公司資訊安全之權責單位為資訊處,該處設置資訊主管,與專業資訊人員,負責訂定企業內部資訊安全政策、規劃暨執行資訊安全防護與資安政策推動與落實,並定期公佈公司資安治理概況。
2.本公司稽核室為資訊安全內控之督導單位,該室設置稽核主管,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
3.組織運作模式採定期稽核與循環式管理,確保可靠度目標之達成且持續改善。

資通安全政策

目的 :

1.為維護整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、可用性、完整性,以維護公司正常營運需要。

  • 機密性(Confidentiality):確保只有經過授權的人才能存取資訊資產。
  • 完整性(Integrity):確保資訊資產其處理方法的準確性及完整性。
  • 可用性(Availability):確保授權的使用者在需要時,可以使用資訊資產。

2.為確保公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改、服務中止或破壞等風險,並建立資通安全管理規範。

 

原則 :

一、資訊安全是全體從業人員之責任。

二、必須建立適當的資訊安全管理組織,包括對於資訊安全的控制方法,執行必要的技術性檢核,對於資訊安全事件進行通報、處置、以及對於ISMS進行稽核及審查。

三、資訊安全管理系統必須符合本公司業務需求,並兼顧資訊投資之成本效益。

四、資訊安全管理須符合相關法令、本公司內部規範、以及契約之要求。

五、資訊資產應訂定分類分級程序,按照安全等級明確標示,分級管理。

六、對處理重要機密資訊之從業人員與外部人員進行必要之安全查核。

七、ISMS須依據ISO/IEC 27001過程導向之「規劃—執行—檢查—行動(Plan-Do-Check-Act, PDCA)」模型,持續執行「建立、實作、運作、監視、審查、維持與改進」之文件化過程。

八、從業人員如違反本政策及相關法令致危害本公司資訊安全,資訊部門應即報准停止其使用。依情節輕重報送本公司相關單位處置。

九、將國際資訊安全標準規範作為ISMS的重要參考。

 

具體管理方案及投入資通安全管理之資源

本公司除建置安全的資訊環境外並持續投入預算改善弱點提升系統作業效能,主要資通安全管理方案如下 :

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。