資訊安全

資訊安全政策及管理方案

 

一、資訊安全風險管理架構

1.為提升資訊安全管理,本公司已於109年10月30日成立「資訊安全管理委員會」,由總經理擔任資訊安全長統籌資訊安全政策推動與資源調度事務。審查資訊安全管理發展方向及策略與相關事宜,並提供資訊安全訊息及宣導,增進業務運作之安全。

2.負責制定資訊安全管理政策,定期檢討修正

3.每年定期或視需要召集會議,並每年向董事會報告執行情形與檢討。

 

二、資訊安全政策

1.恪遵法令訂定相關資訊安全管理規章,強化資訊安全管理,確保本公司所屬之資訊資產的機密性、完整性及可用性。

2.定期評估及進行內部稽核,確保本公司業務持續穩健安全運作。

3.督導本公司同仁落實配合資訊安全防護,提升各部門及人員對資訊安全之認知。

4.要求本公司全體同仁及使用或連結本公司電腦系統之往來廠商,規範確實遵守本公司資訊安全相關規定。

 

三、資訊安全管理方案

1.本公司針對資訊設備及網路設備,已透過保全監控作業避免設備被盜或惡意人為破壞情事發生。

2.因應資訊安全日益重要,避免網路攻擊、勒索軟體,電腦病毒等資安議題,每年執行安全防護機制並和外部資安廠商合作檢測。

3.每年針對資安事件演練及強化公司同仁資安危機意識及資安處理人員應變能力。以期能防範並阻絕危機的擴散。

4.本公司內部稽核配合年度稽核計畫規範資通安全檢查列為稽核項目,依據內部控制制度處理準則第8條規範個人資料保護之管理及第9條規範本公司使用電腦化資訊系統處理者,其資訊部門與使用者部門應明確劃分權責,及下列控制作業:
 (1)、資訊處理部門之功能及職責劃分。
 (2)、系統開發及程式修改之控制。
 (3)、編製系統文書之控制。
 (4)、程式及資料之存取控制。
 (5)、資料輸出入之控制。
 (6)、資料處理之控制。
 (7)、檔案及設備之安全控制。
 (8)、硬體及系統軟體之購置、使用及維護之控制。
 (9)、系統復原計畫制度及測試程序之控制。
 (10)、資通安全檢查之控制。
 (11)、向主管機關指定網站進行公開資訊申報相關作業之控制。

 

四.109年度執行情形:

1.由電腦室主管擔任召集人,定期召開管理審查會議,主要內容為檢討資訊安全政策、稽核報告、持續改善方案。

2.電腦室不定期提供資訊安全訊息及宣導

      電腦室不定期以電子郵件、聯絡單等方式通知全體員工最新相關資訊及提醒注意事項,全力共同防範,以確保安全的網路環境。

3.內部稽核配合年度稽核計畫執行資通安全檢查列為稽核項目,並將稽核報告呈報審計委員會審核。

4.109年度資訊安全治理報告於109年12月14日提報董事會。

 

五.110年度執行情形:

1.由總經理擔任召集人,持續定期召開管理審查會議,主要內容為檢討資訊安全政策、稽核報告、持續改善方案。

2.電腦室持續不定期提供資訊安全訊息及宣導

    電腦室不定期以電子郵件、聯絡單等方式通知全體員工最新相關資訊及提醒注意事項,全力共同防範,以確保安全的網路環境。

3.內部稽核持續配合年度稽核計畫執行資通安全檢查列為稽核項目,並將稽核報告呈報審計委員會審核。

4.因應資訊安全,資料的重要性提升,並因應資料快速回復及降低風險,電腦室增購IBM備份300G硬碟,以增加資料的備份次數,早晚各一次。

5.110年度資訊安全治理報告於110年12月份提報董事會。