投資人專區INVESTMENT

  1. 資通安全風險管理架構 :

(1)資通安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊單位負責辦理。

(2)資料及資通系統安全之需求研議、使用管理及保養等事項,由相關業務單位負責辦理。

(3)所有人員和委外服務廠商等均須依照安全管理程序以維護資通安全政策。

  1. 資通安全政策:

(1) 目的:

為維護公司主機、網路設備及網路通訊等之整體資通安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改、服務中止或破壞等風險,確保其具機密性、可用性、完整性,以維護公司正常營運需要,特訂定本政策

(2) 目標:

      1. 強化資訊與通訊安全管理、提升防護能力,建立安全可靠的資通作業環境。
      2. 機密性(Confidentiality):資訊系統訊息在處理中或傳輸過程中均能保障在對的人、對的時間、對的裝置和對的地點上被存取,確保只有經過授權的人才能存取資訊系統,保護機密資料不外洩。
      3. 完整性(Integrity):任何儲存在本公司的資訊系統中的資料,在處理中或在傳輸過程中均要保護,以防不當竄改及資訊系統在運作中被不當的操縱或入侵。
      4. 可用性(Availability):確保授權的使用者在需要使用資訊系統時,均可在適當的時間內獲得回應並完成服務需求。
      5. 確保核心服務及網路運作可用率。
      6. 確保因資通安全或其他異常事件,所造成系統故障而中斷業務服務能迅速恢復正常。
      7. 確保本公司資通安全措施或規範,符合法令、法規要求。
      8. 確保資通安全事件或可疑弱點,均依適當通報機制反映,並予以適當調查及處理。
  1. 具體管理方案及投入資通安全管理之資源:

本公司除建置安全的資訊環境外並持續投入預算改善弱點提升系統作業效能,主要資通安全管理方案如下:

網路安全

建置網路防火牆阻斷外部網路攻擊

建置端點防護,防止電腦病毒與駭客入侵

建置Mail備份防毒機制,阻絕垃圾郵件攻擊及符合沙賓法案追蹤查詢紀錄

資料系統安全

建置資料備份機制將重要系統資料備份並定期做還原演練

將重要應用系統虛擬化並每日備份

應用程式安全

建立應用系統開發流程從應用、測試、驗收上線均遵照SOP

資訊系統委外維護透過遠端連線遵照資安權限控管

教育訓練與宣導

定期做資安宣導與教育訓練

加強員工對郵件社交工程警覺性,執行釣魚郵件演練

員工資訊安全

簽訂員工安全保密切結書

提供人員在職期間之教育訓練,確保各項資訊資產及系統作業的安全性與正確性

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。

資訊安全人人有責,即使系統的安全建置再嚴謹,但若使用者觀念未落實,也是無法將風險降到最低。因此在每次的異常事件發生後,除了記錄事件的完整經過,並將其製成公告,讓公司所有員工知曉,目的是讓每位員工對於資安的防護有更多的認知以及落實。透過這樣的不斷循環,讓公司每位員工都能在作業上多一份資訊安全認知,更加鞏固資訊的安全度,降低威脅,提升企業競爭力。公司更於每年接受內控稽核,以核實資安風險程度,若未達標準,將採取改善措施,以降低可能發生的風險。111年12月經內控稽核後,並無重大資安事件影響營運風險事項。

截至年報刊印日止,本公司並未發現任何重大的網路攻擊或事件,已經或可能對公司業務及營運產生重大不利影響,也未曾涉入任何與此有關的法律案件或監管調查。

依據 公開發行公司建立內部控制制度處理準則 於112年10月31日設置資訊安全主管及資訊安全人員各一名,由劉威男經理擔任資訊安全主管;賴建銘副課長擔任資訊安全人員,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。