資通安全風險管理架構
資訊處為非隸屬使用者單位為獨立部門,負責計畫並執行資訊安全政策,宣導資訊安全,提高員工資安意識,蒐集及改進資訊相關有效性之技術、或程序等。
執行網路安全、資訊檔案安全、資訊機房、郵件安全管控、資訊系統權限控制存取等管理。
内、外部稽核每年將至少一次查核內部資安執行狀況,並每年一次向董事會報告。
資通安全政策
確保提供的資訊服務可穩定使用且營運業務持續運作,
確保保管的資訊資產之機密性、完整性與可用性,並保障人員資料之隱私。
建立資訊業務永續運作計畫,執行符合相關法令或法規要求之資訊業務活動運作。
資通安全的具體管理方案
目前針對資安風險管理之主要措施與執行情形如下,已能有效防護資訊安全。
編號 | 項目 | 具體管理措施 |
1 | 防火牆防護 | 防火牆設定連線規則。 |
如有特殊連線需求需額外申請核准後開放。 | ||
2 | 防毒軟體 | 使用防毒軟體,並自動更新病毒碼,降低病毒感染機會。 |
3 | 作業系統更新 | 作業系統重大與安全性更新,由自動更新系統統一控管,自動派送安裝到公司電腦。 |
4 | 郵件安全管控 | 郵件設定自動掃描及過濾威脅,在使用者接收郵件之前,封鎖不安全的附件檔案、釣魚郵件、垃圾郵件,惡意連結。 |
5 | 資料備份機制 | 重要資訊系統資料庫皆設定每日備份,且設置異地備份。 |
6 | 重要檔案上傳伺服器 | 公司內各部門重要檔案存放於伺服器,統一保存。 |
執行情形:
1.本公司於2022年導入ISO/IEC 27001:2013資安管理系統,並於2022年12月19日通過驗證,2023年11月17日通過續評審查,2024年11月19日通過續評審查。
目前證書之有效期為2022年12月19日至2025年12月18日。IAF CertSearch
2.目前無重大資安事件導致營業損害之情事。
3.不定期開資安會議討論相關議題,已於2024年12月19日向董事會報告資安狀況。
4.將持續落實資訊安全管理政策目標,並定期實施復原計劃演練,保護公司重要系統與資料安全。
投入資通安全管理之資源:
1.依循ISO 27001資安國際標準,制定資安相關規範,包含資通安全教育訓練與營運持續演練等,提升員工資安意識,有效降低因人為疏失或天然災害等因素,導致之資訊資產不當使用、洩漏、竄改或破壞等風險。
2.本公司2024年度一般同仁已完成三小時資安訓練,資訊人員完成至少四小時資通專業訓練。
3.2024年投入之資安預算,約3,992,400元。