資通安全管理
IC Security Management
Information and Communication Security Management Objectives
一、資通安全管理目標
確保公司業務及資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),保護客戶隱私及資訊資產安全。
Information and Communication Security Risk Management Framework
二、資通安全風險管理架構
本公司資通安全之權責單位為資訊課,該部設置資訊主管乙名,與專業資訊人員乙名,資安主管及資安人員由資訊主管及資訊人員擔任,負責訂定企業內部資通安全政策、規劃暨執行資通安全防護與資安政策推動與落實,並定期公佈公司資安治理概況。
本公司稽核室為資通安全監理之督導單位,該室設置稽核主管,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
Information and Communication Security Policy
三、資通安全政策
本公司致力於建立一個高度重視資通安全的企業文化,並積極提升資通安全治理的能力和水準,以確保企業持續營運和資料安全。由資安權責單位統籌公司各單位的權責人員共同推廣資通安全執行,旨在有效地實施資通安全管理。本公司資安權責單位遵循管理循環機制,即「Plan-Do-Check-Action(PDCA)」,檢視資通安全政策適用性,持續推動與追蹤保護措施的有效性,並定期與稽核單位匯報,以確保我們的資安措施不斷進步,與時俱進。
本公司致力於建立一個高度重視資通安全的企業文化,並積極提升資通安全治理的能力和水準,以確保企業持續營運和資料安全。由資安權責單位統籌公司各單位的權責人員共同推廣資通安全執行,旨在有效地實施資通安全管理。本公司資安權責單位遵循管理循環機制,即「Plan-Do-Check-Action(PDCA)」,檢視資通安全政策適用性,持續推動與追蹤保護措施的有效性,並定期與稽核單位匯報,以確保我們的資安措施不斷進步,與時俱進。
- 核心業務系統安全管理
- 資訊系統存取控制
- 資通安全防護及控制措施
- 資安風險管理及應變通報程序
Specific Management Plans and Resource Allocation for Information and Communication Security
四、資通安全具體管理方案及投入資源
- 使用者帳號註冊與註銷符合公司使用人員之管理,定期審查使用者帳號及權限
- 電子郵件系統具備過濾及惡意軟體偵測機制,落實電子郵件安全管理
- 每年定期舉辦災難復原演練,確保資安事件應變能力,及降低系統運作風險。
- 系統伺服器主機設備安置於限制出入區域,並管制人員進出
- 每年定期舉辦資訊安全宣導,提升員工資安意識及安全認知。
- 定期向董事會報告資通安全執行情形,已於2023年11月1日於董事會報告
- 落實威脅情資蒐集與資安通報,已於2023年加入TWCERT/CC台灣電腦網路危機處理暨協調中心
- 資安專責人員每年都參加相關的進修課程,以增強專業素養和關注重要議題。
Information Security Incident Reporting Procedure
五、資安事件通報程序
本公司資通安全通報程序如下,資安事件之通報與處理,皆需遵照本程序進行。
