信息安全组织与运作

本公司制定适宜的信息安全制度文件及控制措施,由「信息部」负责信息安全及风险管理,依照公司之经营方针及运营模式,设计信息管理系统,提供实时决策支持系统与管理信息,涵盖相关环节,包括政策、组织、人员、网络安全、作业管理、访问控制、信息系统开发及维护、资安事件管理等。

信息安全政策

本公司信息安全风险管理架构针对人员、对内及对外三个层面进行风险管理。

  • 人员:信息安全政策、训练及倡导、权限管控
  • 对内:网络管控、防毒、数据保护
  • 对外:防火墙、入侵防护系统

对于信息安全事件之预防准备、发生处理及事后调查检讨进行因应。

  • 信息安全预防(事前): 加强人员对于信息安全事件认知及防范、建立更安全、稳定和快速的网络环境及设施服务並加强数据存取安全性及完整性
  • 信息安全处理(事中): 实时处理、控制和阻止及数据的保全、备份及恢复
  • 信息安全检讨(事后): 证据保存、事件调查及定期检讨及改善

具体管理控制措施:

  • 信息部每年进行自我内部查核以确认制度有效性,且稽核单位亦定期对资安查核状况结果呈报董事会。
  • 定期执行信息安全倡导作业以提升信息安全防护之认知观念。
  • 员工持有之账号、密码与权限应善尽保管与使用责任并定期换置。
  • 员工、访客及其他外部单位等,使用本公司信息服务或执行相关信息业务等,依各业务范围、权责分别设定使用者之账号及权限,使用者一旦离开原职务或任务结束,立即撤销及格式化该使用者之权限以确认无资安外泄疑虑。
  • 网络建立防火墙等多层次防御,并建立防毒、邮件过滤、邮件稽核等管控机制,以降低网络威胁。
  • 重要服务与数据皆有建立备援与异地备份,以确保服务不中断与数据不遗失。
  • 设计适当之信息安全事件的响应及通报程序,以能适当对信息安全事件做立即反应,避免伤害扩大。