資通安全管理

(1)、資通安全管理組織架構

    本公司於2022年8月設置資安長及資安專責部門,轄下資安主管1人與資安人員2人共4名,負責統籌規劃資通安全等相關事務。

    於2023年5月成立資通安全管理委員會,由副總經理級擔任總召集人,轄下各資通安全推動小組執行資通安全業務。

(2)、資通安全管理政策

    為使本公司業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性         (Confidentiality)、完整性(Integrity)及可用性(Availability)預計呈報制訂政策如下,以供全體同仁共同遵循:

  1. 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
  2. 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
  3. 防護未經授權的修改以保護資訊及資通系統之完整性。
  4. 確保經授權之使用者當需要時能使用資訊及資通系統。
  5. 符合法令與法規要求。
  6. 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
  7. 落實資通安全教育訓練,以提高員工之資訊安全意識。

(3)、資通安全控制措施

    1.具備進階持續性威脅攻擊防禦等系統,以防範外部網路的惡意攻擊,如建置網路防火牆。

    2.建置員工上網、電子郵件過濾機制,以避免內部系統被植入惡意程式。

    3.定期要求使用者密碼變更及啟用密碼複雜度設定。

    4.即時修補安全性漏洞或系統更新,以強化安全性,抵禦駭客攻擊。

    5.加入資安聯防體系之台灣CERT/CSIRT或組織。

    6.預計建立多項資通安全辦法與規範並執行之。

    7.資安人員須定期進行資安專業教育訓練。

    8.針對所有使用資訊系統之同仁定期進行資安觀念強化與訓練。

(4)、投入資通安全管理之資源暨推動執行情形

    定期向董事會報告,最近報告日期為2023.11.08。

    成立資通安全管理委員會,由資通安全推動小組執行資安業務。

    資安專責人員資安教育訓練 150 分鐘/ 4人次。

    使用資通設備與系統的員工強化資安觀念訓練 30 分鐘/ 360人次。

    實施社交工程演練。

    資安投入金額62萬元。

    評估資安顧問公司,預計明年導入ISO27001。

    評估多家進階持續性威脅攻擊防禦系統並實質測試,預計明年導入,以防外部網路的惡意攻擊。

2023年度本公司並無因重大資通安全事件而遭受損失。