本公司資訊安全之權責單位為資訊處,該處設置資訊主管乙名與專業資訊人員數名,負責訂定、推動與落實資訊安全政策。
本公司稽核室為資訊安全風險之查核單位,該室設置稽核主管乙名,負責督導及查核內部資安執行狀況。
依據「公開發行公司建立內部控制制度處理準則」規定,將「資通安全檢查之控制」納入年度稽核計劃,並依所排定期程進行查核作業。
若有發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
為貫徹本公司各項資訊管理制度能有效運作執行,維護重要資訊系統的機密性、完整性、可用性,以確保資訊系統之安全維運,達到永續經營目的。
本公司資訊安全政策包含以下三個面向:
(一)制度規範:訂定「資訊作業管理辦法」,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
(二)資安防護系統建置:為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。
(三)人員資安意識訓練:為降低內部人為因素對資訊安全之影響,資訊處會定期對員工實施資訊安全教育訓練及宣導,以提昇全體同仁對資訊安全之認知及意識。
項目 | 具體管理方案 |
終端安全管理 | 位於內部之主機及端點皆由主控台統一佈署防毒軟體,隨時更新病毒碼與辨識惡意行為特徵,能即時攔截病毒、木馬蠕蟲、勒索軟體、文件夾帶之惡意程式等,有效降低被駭客攻擊損害之風險。 |
網路存取安全管理 | 公司內部系統皆位於虛擬網路之中,外部網路受隔離無法直接進入,並已採用多重網路安全防禦系統,位於網路前端之防火牆、入侵防禦系統能防禦外部網路攻擊,並即時封鎖最新惡意軟體及有害之網站連結等威脅。 |
系統存取帳號安全管理 |
|
實體設備及環境安全管理 | 電腦主機及其相關儲存與網路連結設備設置於專用機房,該機房設有環境監測系統並使用穩壓與不斷電系統供應電力,以避免電壓不穩定或瞬間斷電造成損害。機房由資訊處負責管理,未經授權不可隨意進入。 |