資訊安全架構、政策及管理方案

> 投資人專區 > 公司治理 > 資訊安全架構、政策及管理方案

一、資訊安全管理架構:

        本公司資訊安全之權責單位為資訊部,該部負責訂定內部資訊安全政策、規劃暨執行資訊安全作業、資訊安全政策推動與落實。

        本公司稽核室執行年度稽核計畫,均將資訊安全列入稽核重點,並將結果呈報董事會。

二、資訊安全政策:

        為強化資訊管理,確保所屬之資訊資產的機密性、完整性、及可用性,以提供資訊運作所需之環境與架構,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

內部安全管控:監控使用者行為,避免異常行為導致資料外流或作業不慎,造成設備故障…等事件。

外部安全管控:監控病毒、釣魚、惡意程式感染或駭客攻擊…等事件。

永續經營管控:預防天災、人禍…等,造成資料損失之風險事件。

三、具體管理方案:

為落實本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私,具體管理措施如下:

  • 限定由本公司允許之資訊設備存取公司資源。
  • 本公司資訊設備皆須安裝防毒軟體,列入資產管理。
  • 定期執行資訊系統教育訓練與資訊安全宣導。
  • 資訊安全設備定期監控,排除內外部資訊安全事件。
  • 依照職能需求,設定同仁存取權限,由資訊部專人處理。
  • 外部人員經核准,以VPN加密一次性連線方式,進入系統存取公司資源。
  • 定期執行系統備份、異地存放作業。
  • 定期執行系統復原演練。
  • 合作廠商皆需簽訂保密合約。
  • 執行資訊安全風險評估機制,提昇資訊安全管理之有效性與即時性。