> 投資人專區 > 公司治理 > 資訊安全架構、政策及管理方案

資訊安全架構、政策及管理方案

一、資訊安全管理架構：
本公司資訊安全之權責單位為資訊部，該部負責訂定內部資訊安全政策、規劃暨執行資訊安全作業、資訊安全政策推動與落實。
本公司稽核室執行年度稽核計畫，均將資訊安全列入稽核重點，並將結果呈報董事會。
二、資訊安全政策：
為強化資訊管理，確保所屬之資訊資產的機密性、完整性、及可用性，以提供資訊運作所需之環境與架構，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。
- 1.內部安全管控：監控使用者行為，避免異常行為導致資料外流或作業不慎，造成設備故障…等事件。
- 2.外部安全管控：監控病毒、釣魚、惡意程式感染或駭客攻擊…等事件。
- 3.永續經營管控：預防天災、人禍…等，造成資料損失之風險事件。
三、具體管理方案：
為落實本公司資訊資產之機密性、完整性與可用性，並保障使用者資料隱私，具體管理措施如下：
- 1.限定由本公司允許之資訊設備存取公司資源。
- 2.本公司資訊設備皆須安裝防毒軟體，列入資產管理。
- 3.定期執行資訊系統教育訓練與資訊安全宣導。
- 4.資訊安全設備定期監控，排除內外部資訊安全事件。
- 5.依照職能需求，設定同仁存取權限，由資訊部專人處理。
- 6.外部人員經核准，以VPN加密一次性連線方式，進入系統存取公司資源。
- 7.定期執行系統備份、異地存放作業。
- 8.定期執行系統復原演練。
- 9.合作廠商皆需簽訂保密合約。
- 10.執行資訊安全風險評估機制，提昇資訊安全管理之有效性與即時性。