相關連結
內容
◤ 資訊安全風險管理架構
本公司資安專責單位為資訊服務處(隸屬於董事長室),已取得資通安全專業證照(ISO 27001 LA),負責訂定資訊安全政策及相關辦法、規劃暨執行資訊安全具體管理措施,由資訊主管定期向董事長報告資安執行成果。
稽核室依據「公開發行公司建立內部控制制度處理準則」規定,已將「資通安全檢查之控制」納入年度稽核計畫,若有發現缺失會請相關單位進行檢討並加以改善。
◤ 資訊安全政策
為保護本公司所有電腦系統之相關資訊資產,包括實體環境、軟硬體設施、網路、資料,免於因內部或外在之威脅,遭受洩密、破壞或遺失等風險,特制訂本政策。
- 1.恪遵法令訂定相關資訊安全管理相關辦法,對本公司資訊資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。
- 2.定期評估各種人為及天然災害對本公司資訊資產之影響,並訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。
- 3.督導本公司同仁落實資訊安全防護工作,建立「資訊安全、人人有責」觀念,提升各部門及人員對資訊安全之認知。
- 4.要求本公司同仁以及使用或連結本公司資訊系統之往來廠商,應確實本公司資訊安全相關規定,如有違反者,視其情形分別依本公司規定懲處或依契約罰責辦理外,情節嚴重者另將受相關法律之訴追。
◤ 資訊安全具體管理措施
| 項目 | 說明 |
|---|---|
| 上網管控 | 建置次世代防火牆,阻擋特定網站分類、網路應用程式,由專人進行記錄分析。 |
| 防毒軟體 | 建置防毒中控台進行統一管理,由專人監控異常事件及病毒碼更新狀態。 |
| 軟體合法 | 建置軟體資產管理系統,由專人定期稽核軟體合法授權數量。 |
| 漏洞修補 | 建置Patch修補程式管理系統,由專人定期追蹤Patch修補程式部署進度。 |
| 電子郵件 | 採用公有雲郵件服務,強化郵件防護機制(防止APT郵件、病毒、詐騙等垃圾信件)。 |
| 公司網站 | 部署多層次防護機制,定期進行弱點掃描及補強,降低駭客攻擊風險。 |
| 機房環境 | 設置獨立空調、滅火器、不斷電系統(UPS),管制特定人員才能進出。 |
| 機房巡檢 | 每日檢查資訊服務可用性、資料備份、機房環境(溫濕度)、設備狀態是否正常。 |
| 異地備援 | 每日備份核心系統與資料至異地機房,定期進行災難復原演練。 |
| 遠距辦公 | 採取VPN連入公司網路,須通過雙因素認證,依照最小權限開放資訊系統服務或連線辦公室電腦。 |
| 資安檢測 | 定期進行主機與網站弱點掃描,端點惡意程式掃描,內部網路封包分析,社交工程演練等。 |
◤ 資安事件通報程序
