公司治理
- 重要公司內規
- 公司組織(含功能性委員會)
- 獨立董事與內部稽核主管及會計師之溝通情形
- 董事會
- 風險管理
- 資通安全管理
- 智慧財產管理
- 企業誠信經營
- 永續發展
- 薪資架構與調薪機制
- 員工福利措施
- 環境保護政策
- 供應商企業社會責任
股東服務
公司治理 Corporate Governance
資通安全管理
資通安全管理之資訊揭露
資訊安全風險管理架構
本公司於113年12月12日設立「資訊安全管理組織」負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。資訊安全管理組織由總經理擔任組織代表,並由資訊安全長擔任管理代表,稽核部主管擔任稽核組為資訊安全監理之督導單位。本公司資訊安全管理執行情形每年定期向董事會報告。
資訊安全管理組織架構與工作執掌如下圖:
資訊安全政策
本公司秉持維護專案作業環境之資訊安全理念,對於本公司資訊系統暨所 儲存、處理、傳遞或揭露之資料作周全保護與防範,以杜絕毀損、失竊、 洩漏、竄改、濫用與侵權等事故,特訂定本資訊安全政策,以為遵循。
- 確實遵守「個人資料保護法」、「著作權法」等資訊安全相關法令。
- 為能有效確保本公司之資訊安全,應針對各資訊安全領域訂定資訊安全規範。
- 遵循本公司資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
- 對於資訊安全事件須有完整的通報及應變措施,以確保資訊系統及重要業務的持續運作。
- 進行資訊處理時,若含有個人資料,應依據「個人資料保護法」及相關規定審慎處理,不私自蒐集或洩漏業務資訊,非公務用途嚴禁調閱使用。
- 本公司主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
- 依角色及職能為基礎,針對不同層級人員辦理資訊安全教育訓練及宣導,促使全體人員瞭解資訊安全的重要性,各種可能的安全風險,以提高資訊安全意識並熟悉工作中之資訊安全職責,促其遵守資訊安全規定。
- 應使用具合法版權軟體及綠色軟體,避免上網下載來路不明之軟體。
- 委外廠商應遵循本政策以及相關程序之規定,不得未經授權使用或濫用本公司之各類資訊資產,若涉及限制使用等級以上業務,應簽署保密切結書。
- 制定應遵循之資訊安全管理指標,並確保目標之建置可量測且依循適當之資訊安全要求。
- 每年至少召開一次管理審查會議,審核本公司資訊安全業務執行狀況,建立管理指標量測方式與評估管理指標量測結果。
- 應建立資訊資產風險評鑑機制,每年至少進行一次風險評鑑,並由管理代表決定可接受風險值。
- 每年應至少進行一次業務永續經營計畫及資安事件通報程序之演練、測試、檢討。
- 違反本政策與本公司之資訊安全相關規範,依公司規定辦理。
具體管理方案
- 主管確認新進人員、合約商及第三方人員於接觸公司相關營運、交易資訊前熟知公司之資訊安全政策。每年於政策更新後重新對人員進行宣導,並要求人員遵循本政策。
- 定期檢討資訊安全政政策,並於電子商務環境發生變動時進行檢討及更新。
- 定期或於電子商務環境發生重大變化時,識別電子商務服務所面臨的威脅及弱點,並考量適切的管控。其中包括資產盤點、風險評鑑與產生風險處理計畫或建議。
- 定期執行電子商務相關營運系統之帳號及權限審查。
- 定期對公司人員執行資訊安全認知宣導。
- 定期對公司電子商務相關網站進行弱點的識別,並採取適當措施強化。
- 重要交易資料應定期備份,重要系統應建立備援機制。
- 定期內部稽核,且留存紀錄並提出矯正預防措施。
投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案
如下:
- 專責人力:設有資訊安全管理組織,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
- 認證:預計於114年通過ISO27001資訊安全及ISO27701個資認證。
- 客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
- 教育訓練:所有新進員工到職前皆完成資訊安全教育訓練課程;年度共計執行二次社交工程釣魚郵件測試。
- 資安宣導:每年至少一次資安宣導,傳達資安防護重要規定與注意事項。
