投資人專區
目的
強化資訊安全管理、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖,確保公司資料的機密性、完整性與可用性。
-
(1)範圍
本政策適用本公司所有員工、約聘雇人員、協力廠商、外包人力及其他得接觸本公司相關資訊者。 -
(2)管理控制
依據資訊安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險及危害,各領域分述如下:- 資訊安全政策訂定與評估。
- 資訊安全組織。
- 人力資源安全管理及教育訓練。
- 資訊資產管理。
- 系統存取控制。
- 密碼學。
- 實體及環境安全。
- 電腦系統安全及資料、文件與媒體安全。
- 網路安全。
- 系應用系統開發維護安全。
- 資訊作業事故之反應及處理。
- 委外作業管理。
- 營運持續管理之安全層面。
- 遵循性。
資訊安全委會
(1)統籌資訊安全管理體系等事項之協調、規劃、查核及推動,成立資訊安全委員會,由本公司總經理擔任主任委員,協調資訊安全管理體系相關事宜。
(2)資訊安全政策、計畫及技術規範之研議及建置等事項,由資訊安全委員會交由分派權責部門負責辦理。
(3)資訊安全查核政策及其計畫之研議事項,由資訊安全委員會,會同相關部門負責辦理。
(2)資訊安全政策、計畫及技術規範之研議及建置等事項,由資訊安全委員會交由分派權責部門負責辦理。
(3)資訊安全查核政策及其計畫之研議事項,由資訊安全委員會,會同相關部門負責辦理。
-
資安事件通報程序 :- 資訊安全政策訂定與評估。
- 資訊安全組織。
- 人力資源安全管理及教育訓練。
- 資訊資產管理。
- 系統存取控制。
- 密碼學。
- 實體及環境安全。
- 電腦系統安全及資料、文件與媒體安全。
- 網路安全。
- 系應用系統開發維護安全。
- 資訊作業事故之反應及處理。
- 委外作業管理。
- 營運持續管理之安全層面。
- 遵循性。
-
2023資訊安全執行情形 :
- 本公司於2021年6月取得ISO27001認證,2022年持續通過第三方驗證機構認證保持維持證書有效性提升企業競爭力、符合法律規範、確保公司核心系統運作安全。
- 2022年8月加入TWCERT/CSIRT 資安聯盟(台灣電腦網路危機處理暨協調中心),與聯盟成員共享資安相關訊息及最新消息,提升國家整體資安聯防能量,共同維護台灣整體網路安全。
- 成立資訊安全委員會統籌資訊安全管理體系等事項之協調、規劃、查核及推動。
- 重要核心系統主機採升級虛擬化設備提升整理安全增加異地備援機制確保核心系統資料之完整性及可用性。